Harden WordPress Security ved å flytte wp-config.php til en ikke-offentlig mappe

I tilfelle du ikke har blitt kjent enda, la meg presentere deg for din wp-config.php fil. Hvis du kjører et WordPress med selvhosting.org-blogg, inneholder wp-config.php ditt brukernavn på MySQL-databasen, ditt MySQL-databasepassord, dine WordPress-autentiseringsnøkler og annen sensitiv informasjon. Med denne informasjonen får en hacker eller skriptkiddie tilgang til alt innhold på WordPress-bloggen din, noe som gir dem frie tøyler til å slette innleggene dine, sette inn ondsinnet kode, tilbakekobling til ulovlige pornosider, eller hva annet de vil.

Som standard wp-config.php sitter i samme mappe som WordPress-bloggen din. Så hvis hjemmesiden til bloggen din er på mysite.com/blog, så er også wp-config.php. Det er ikke så uvøren som det ser ut siden .php-filer er skripter på serversiden som behandles av serveren. Når du ser på en .php-fil, ser du faktisk på utgangen av filen. Det samme gjelder når du viser kilden. Den eneste måten å laste ned råkoden til en .php-fil er via FTP.

Men bare fordi du ikke normalt får tilgang til en .php-fil, betyr ikke det at du alltid er trygg ...

Ulykker skjer, og det er sårbarheter. Hvis webserverens PHP-konfigurasjon brytes, MIME-typene dine ikke er konfigurert riktig, eller webserveren din på annen måte er feilkonfigurert, kan websiden din ende opp med å tjene ren tekst i stedet for behandlet PHP-utdata; det er bare noen få eksempler. Og akkurat som å bli depantert under et stort møte i videregående auditorium, tar det bare et sekund og før du kan få knikkene dine tilbake på har de sett alt. Ja, de har sett alt.

I denne groovyPosten, viser jeg deg hvordan du beholder detwp-config.php med brukernavn og passord på MySQL-databasen din (r). Selv om ingen nettsider eller blogg er 100% ikke-hackbare, vil dette raske tipset gjøre det å hacke WordPress-bloggen din vanskeligere for inntrengere som vil være enn et nettsted som ikke har tatt disse forholdsreglene. Vanligvis er det bare å være sikrere enn naboen din til å avskrekke en vil-hacker-innsats for et annet nettsted enn ditt eget. Husk at hvis du noen gang er i skogen med en gruppe mennesker og en bjørn dukker opp - trenger du ikke å løpe raskere enn bjørnen, bare raskere enn de andre menneskene. (og alt som spøker til side, er Bear mace det beste alternativet hvis du noen gang virkelig er i den situasjonen)

Flytte wp-config.php-filen

Med riktig filtillatelse og riktigkonfigurert webserver, og wp-config.php-filen i samme offentlige mappe som resten av bloggen din skulle være helt greit. Men når det gjelder å beskytte nettstedet ditt, er sikkerhet en løk (eller tilsynelatende Ogre); jo flere lag, jo mer av det fikk du.

WordPress Codex bekrefter dette følelsen oganbefaler at du flytter wp-config.php bort fra standardinstallasjonsstedet. WordPress.org-blogger med selvhusholdning lar deg flytte wp-config.php opp ett nivå fra bloggens rot. Det er bra og bra, men for de fleste webservere er det et nivå opp fra bloggroten fortsatt en public_html-mappe. Du har det best å sette den i en mappe som ikke er en underkatalog av din offentlige_html- eller WWW-mappe. På den måten er sjansene for at noen når det via en nettleser eller andre HTTP-applikasjoner praktisk talt null.

Dette gjør du:

Trinn 1

Åpne WordPress.org-nettstedet ditt via et FTP-program og naviger til roten.

Steg 2

Last ned wp-config.php til harddisken.

Trinn 3

Gi den nytt navn til noe annet enn wp-config.php.

Gjør det til noe nonsensisk, så noen som snubler over det (kanskje noen som har hacket seg inn på den delte serveren din via SSH) kanskje ikke gjenkjenner det for hva det er. Så i stedet for å kalle det “off-site-wordpress-config.php” kall det "futurama-fan-fic.php.”

Trinn 4

Last opp den nye wp-config.php-fil til en mappe over din public_html- eller www-mappe. Personlig opprettet jeg en hel katalog for konfigurasjonsfiler utenfor nettet. Men det er sannsynligvis tryggere å plassere dem et mer tilfeldig sted.

Det viktigste er å si det utenfor av din www eller public_html-mappen.

Trinn 5

Åpne notisblokken eller den andre favoritt PHP-redigereren.

Lag en ny wp-config.php-fil som bare inneholder følgende kode:

Bytt ut katalogen her med serverplasseringen til den omdøpte wp-config.php-filen. Merk at dette ikke er en URL, det er en bane i forhold til serverposisjonen din. Så, gjør det:

vil ikke fungere.

Som du sikkert har samlet, hva dette vil gjøre er egentlig å skape en "snarvei”Til din faktiske wp-config.php-fil. Så hvis noen hacker wp-config.php-filen i WordPress-katalogen din, er alt de vil finne en fil som peker til en annen fil.

For moro skyld kan det være lurt å legge til en kommentar som lyder:

Trinn 6

Last opp den nye wp-config.php-filen til WordPress-roten. Overskriv den gamle (du støttet den først, ikke sant?).

Trinn 7

Det er det! Naviger til WordPress.org-bloggroten din for å sikre at den fungerte.

Hvis du får en feil som lyder:

Da betyr det at du skrev inn serverensted feil i den endrede wp-config.php-filen. Hvis du har problemer med å bestemme den absolutte banen til bloggen din, oppretter du en .php-fil med følgende kode i den:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Dette vil vise deg den absolutte banen for hvilken katalog filen er i, og vil også belyse hvordan du beveger deg over mappen public_html.

Hvis du får en feilmelding som lyder:

Da betyr det at det ikke er noen wp-config.php-fil i din WordPress.org-rot. Dobbeltkontroller at du lastet opp den endrede wp-config.php til WordPress.org-roten eller mappen rett over den og omdøpte wp-config.php-filen til et annet sted, i stedet for omvendt.

Konklusjon

Vil flytte wp-config.php gjøre bloggen din skuddsikker? Absolutt ikke. Men det er bare ett av trinnene du kan ta for å gjøre nettstedet eller bloggen din sikrere. Og for meg hjelper det meg å sove bedre om natten - akkurat som å sette en ekstra kjetting eller deadbolt på døra.

Merk: Før du går rundt filstrukturen, må du sørge for å sikkerhetskopiere ting og føle deg komfortabel med det du gjør. Du kan for alvor rote WordPress-bloggen din hvis du sletter feil ting. Du har blitt advart.