Wzmocnij bezpieczeństwo WordPress, przenosząc wp-config.php do niepublicznego folderu

Jeśli jeszcze Cię nie znasz, pozwól, że przedstawię Ci swoje wp-config.php plik. Jeśli korzystasz z hostowanego WordPressa.org blog, twój wp-config.php zawiera nazwę użytkownika bazy danych MySQL, hasło do bazy danych MySQL, klucze uwierzytelniające WordPress i inne poufne informacje. Dzięki tym informacjom haker lub skryptowy dzieciak uzyskuje dostęp do każdego elementu treści na blogu WordPress, umożliwiając mu usuwanie postów, wstawianie złośliwego kodu, odsyłanie do nielegalnych stron pornograficznych lub cokolwiek innego.

Domyślnie wp-config.php znajduje się w tym samym folderze co blog WordPress. Tak więc, jeśli strona główna twojego bloga znajduje się na mysite.com/blog, to również twój wp-config.php. To nie jest tak lekkomyślne, jak się wydaje, ponieważ pliki .php są skrypty po stronie serwera które są przetwarzane przez serwer. Kiedy patrzysz na plik .php, tak naprawdę patrzysz na wynik pliku. To samo dotyczy widoku źródła. Jedynym sposobem na pobranie surowego kodu pliku .php jest FTP.

Ale to, że normalnie nie możesz uzyskać dostępu do pliku .php, nie oznacza, że zawsze jesteś bezpieczny ...

Wypadki się zdarzają i istnieją luki w zabezpieczeniach. Jeśli konfiguracja PHP twojego serwera WWW ulegnie awarii, twoje typy MIME nie zostaną poprawnie skonfigurowane lub twój serwer internetowy zostanie źle skonfigurowany, twoja strona internetowa może skończyć się wyświetlaniem zwykłego tekstu zamiast przetwarzanych danych wyjściowych PHP; to tylko kilka przykładów. I podobnie jak deportacja podczas rajdu szkolnego w audytorium w szkole średniej, zajmuje to tylko ułamek sekundy i zanim zdążysz odzyskać figi, zobaczyli wszystko. Tak, widzieli wszystko.

W tym groovyPost pokażę ci, jak zachowaćtwój wp-config.php z twoją nazwą użytkownika i hasłem do bazy danych MySQL safe (r). Chociaż żadna strona internetowa ani blog nie są w 100% niemożliwe do zhakowania, ta krótka wskazówka sprawi, że włamanie do twojego bloga WordPress będzie trudniejsze dla potencjalnych intruzów niż strona, która nie zastosowała tych środków ostrożności. Zwykle wystarczy być bezpieczniejszym niż twój sąsiad, aby powstrzymać potencjalnego hakera od działań na stronie innej niż Twoja. Pamiętaj, że jeśli kiedykolwiek jesteś w lesie z grupą ludzi i pojawia się niedźwiedź, nie musisz biec szybciej niż niedźwiedź, tylko szybciej niż inni ludzie. (i żartując na bok, Niedźwiedź buława jest najlepszym wyborem, jeśli naprawdę jesteś w takiej sytuacji)

Przenoszenie pliku wp-config.php

Z prawidłowymi uprawnieniami do plików i poprawnieskonfigurowany serwer WWW, utrzymywanie pliku wp-config.php w tym samym folderze publicznym, co reszta twojego bloga, powinno być w porządku. Ale jeśli chodzi o ochronę witryny, bezpieczeństwo to podstawa (lub Ogre najwyraźniej); im więcej warstw, tym więcej masz.

Kodeks WordPress potwierdza ten sentyment izaleca przeniesienie pliku wp-config.php z domyślnej lokalizacji instalacji. Samo hostowane blogi WordPress.org umożliwiają przeniesienie pliku wp-config.php o jeden poziom wyżej niż katalog główny bloga. To wszystko dobrze i dobrze, ale w przypadku większości serwerów internetowych jeden poziom wyżej od katalogu głównego blogu to nadal folder public_html. Najlepiej jest umieścić go w folderze, który nie jest podkatalogiem folderu public_html lub WWW. W ten sposób szanse, że ktoś dotrze do niego przez przeglądarkę internetową lub inną aplikację HTTP, są praktycznie zerowe.

Oto co robisz:

Krok 1

Uzyskaj dostęp do swojej witryny WordPress.org za pośrednictwem programu FTP i przejdź do katalogu głównego.

Krok 2

Pobierz wp-config.php na dysk twardy.

Krok 3

Zmień nazwę na inną niż wp-config.php.

Zrób z tego coś bezsensownego, więc ktoś, kto się na niego natknie (być może ktoś, kto włamał się do twojego udostępnionego serwera przez SSH) może tego nie rozpoznać. Zamiast nazywać to „off-site-wordpress-config.php ” nazwać "futurama-fan-fic.php. ”

Krok 4

Prześlij swoją zmienioną nazwę wp-config.plik php do folderu powyżej folderu public_html lub www. Osobiście stworzyłem cały katalog dla plików konfiguracyjnych poza witryną. Ale prawdopodobnie bezpieczniej jest umieścić je gdzieś bardziej losowo.

Najważniejsze jest, aby to ująć na zewnątrz z Twojego www lub folder public_html.

Krok 5

Otwórz notatnik lub inny ulubiony edytor PHP.

Utwórz nowy plik wp-config.php, który zawiera tylko następujący kod:

<? php
include („/ home / usr / hobbies / futurama-fan-fic.php”);
?>

Zamień tutaj katalog na lokalizację serwera pliku o zmienionej nazwie wp-config.php. Pamiętaj, że to nie jest adres URL, to ścieżka względem lokalizacji twojego serwera. Czyniąc to:

include („www.twojadomena.com/lokalizacja/futurama-fan-fic.php”);

nie będzie działać.

Jak zapewne już się zebrałeś, w zasadzie stworzysz „skrót”Do rzeczywistego pliku wp-config.php. Jeśli więc ktoś włamie się do pliku wp-config.php w katalogu WordPress, wszystko, co znajdzie, to plik wskazujący inny plik.

Dla zabawy możesz dodać komentarz o treści:

// Dziękuję Mario! Ale nasza księżniczka jest w innym zamku!

Krok 6

Prześlij nowy plik wp-config.php do katalogu głównego WordPress. Zastąp stary (najpierw utworzyłeś kopię zapasową, prawda?).

Wordpress.org Security- Moving Wp-Config.php

Krok 7

Otóż to! Przejdź do katalogu głównego blogu WordPress.org, aby upewnić się, że działa.

Jeśli pojawi się błąd o treści:

Ostrzeżenie: include (/www.twojadomena.com/lokalizacja/futurama-fan-fic.php ’) [function.include]: nie można otworzyć strumienia: brak takiego pliku lub katalogu w/home/usr/public_html/blog.com/wp-config.php online 2

Błąd krytyczny: Wywołanie niezdefiniowanej funkcji wp () w /wp-blog-header.php online 14

Oznacza to, że wpisałeś serwernieprawidłowa lokalizacja w zmodyfikowanym pliku wp-config.php. Jeśli masz problemy z określeniem bezwzględnej ścieżki do swojego bloga, utwórz plik .php z następującym kodem:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

To pokaże bezwzględną ścieżkę do dowolnego katalogu, w którym znajduje się plik, a także podświetli sposób poruszania się nad folderem public_html.

Jeśli pojawi się komunikat o błędzie o treści:

Wydaje się, że nie ma wp-config.php plik. Potrzebuję tego, zanim zaczniemy. Potrzebujesz więcej pomocy? Mamy to. Możesz utworzyć wp-config.php plik przez interfejs internetowy, ale nie działa to dla wszystkich konfiguracji serwera. Najbezpieczniejszym sposobem jest ręczne utworzenie pliku.

Oznacza to, że nie ma wp-config.plik php w katalogu głównym WordPress.org. Sprawdź dwukrotnie, czy przesłałeś zmodyfikowany plik wp-config.php do katalogu głównego WordPress.org lub folderu tuż nad nim, a także plik wp-config.php o zmienionej nazwie w innym miejscu, a nie odwrotnie.

Wniosek

Przeniesie twój wp-config.php sprawi, że Twój blog będzie kuloodporny? Zdecydowanie nie. Ale to tylko jeden z kroków, które możesz zrobić, aby zwiększyć bezpieczeństwo swojej witryny lub bloga. A dla mnie pomaga mi lepiej spać w nocy - tak jak położyć dodatkowy łańcuch lub rygiel na drzwiach.

Uwaga: Zanim zaczniesz grzebać w strukturze plików, upewnij się, że wykonałeś kopię zapasową i czujesz się dobrze z tym, co robisz. Możesz poważnie zepsuć swój blog WordPress, jeśli usuniesz niewłaściwą rzecz. Zostałeś ostrzeżony.