Endurecer a segurança do WordPress, movendo o wp-config.php para uma pasta não pública

Caso você ainda não esteja familiarizado, deixe-me apresentá-lo ao seu wp-config.php Arquivo. Se você executa um WordPress auto-hospedado.org blog, seu wp-config.php contém seu nome de usuário do banco de dados MySQL, sua senha do banco de dados MySQL, suas chaves de autenticação do WordPress e outras informações confidenciais. Com essas informações, um hacker ou script infantil obtém acesso a todo conteúdo do seu blog WordPress, dando-lhes liberdade para excluir suas postagens, inserir código malicioso, voltar para sites pornográficos ilegais ou o que mais eles quiserem.

Por padrão, wp-config.O php fica na mesma pasta do seu blog WordPress. Portanto, se a página inicial do seu blog estiver em mysite.com/blog, também será o seu wp-config.php. Isso não é tão imprudente quanto parece, pois os arquivos .php são scripts do lado do servidor que são processados ​​pelo servidor. Quando você está vendo um arquivo .php, está realmente vendo a saída do arquivo. O mesmo vale para quando você vê a fonte. A única maneira de baixar o código bruto de um arquivo .php é via FTP.

Mas apenas porque você normalmente não pode acessar um arquivo .php não significa que você está sempre seguro ...

Acidentes acontecem e existem vulnerabilidades. Se a configuração do PHP do seu servidor da Web for interrompida, os tipos de MIME não estiverem configurados corretamente ou o servidor da Web estiver configurado incorretamente, sua página da Web poderá acabar servindo texto sem formatação em vez da saída processada do PHP; isso são apenas alguns exemplos. E, assim como ser humilhado durante um comício no auditório do ensino médio, leva apenas uma fração de segundo e, antes que você possa se vestir, eles viram tudo. Sim, eles viram tudo.

Neste groovyPost, mostrarei como manterseu wp-config.php com os nomes de usuário e senhas do banco de dados MySQL safe (r). Embora nenhum site ou blog seja 100% intransferível, essa dica rápida tornará mais difícil invadir seu blog WordPress para possíveis invasores do que um site que não tomou essas precauções. Geralmente, apenas ser mais seguro que o seu vizinho é suficiente para impedir os esforços de um possível hacker em um site que não seja o seu. Lembre-se, se você estiver na floresta com um grupo de pessoas e um urso aparecer, você não precisa correr mais rápido que o urso, apenas mais rápido que as outras pessoas. (e brincadeiras à parte, a maça do urso é sua melhor aposta se você estiver realmente nessa situação)

Movendo seu arquivo wp-config.php

Com as permissões de arquivo corretas e uma corretaservidor web configurado, mantendo o arquivo wp-config.php na mesma pasta pública que o restante do seu blog deve estar perfeitamente bem. Mas, quando se trata de proteger seu site, a segurança é uma cebola (ou Ogre aparentemente); quanto mais camadas, mais você obtém.

O WordPress Codex afirma esse sentimento erecomenda que você mova seu wp-config.php para longe do local padrão de instalação. Os blogs auto-hospedados do WordPress.org permitem que você mova seu wp-config.php um nível acima da raiz do seu blog. Tudo bem, mas para a maioria dos servidores da web, um nível acima da raiz do blog é ainda uma pasta public_html. É melhor colocá-lo em uma pasta que não seja um subdiretório da sua pasta public_html ou WWW. Dessa forma, as chances de alguém acessá-lo por meio de um navegador da Web ou qualquer outro aplicativo HTTP são praticamente nulas.

Aqui está o que você faz:

Passo 1

Acesse o site WordPress.org através de um programa FTP e navegue até a raiz.

Passo 2

Faça o download do wp-config.php no seu disco rígido.

segurança wordpress

etapa 3

Renomeie-o para algo diferente de wp-config.php.

protegendo o wp-config.php

Faça algo sem sentido, para alguém que tropeça nele (talvez alguém que tenha invadido seu servidor compartilhado via SSH) pode não reconhecê-lo pelo que é. Então, ao invés de chamá-lo de "off-site-wordpress-config.php ” chame-o "futurama-fan-fic.php. ”

Passo 4

Carregue seu wp-config renomeado.arquivo php para uma pasta acima da sua pasta public_html ou www. Pessoalmente, criei um diretório inteiro para arquivos de configuração externos. Mas provavelmente é mais seguro colocá-los em algum lugar mais aleatório.

O mais importante é colocar lado de fora do seu www ou public_html.

colocando o wp-config.php fora do www

Etapa 5

Abra o bloco de notas ou seu outro editor PHP favorito.

Escondendo seu wp-config.php

Crie um novo arquivo wp-config.php que contenha apenas o seguinte código:

<? php
include ('/ home / usr / hobbies / futurama-fan-fic.php');
?>

Substitua o diretório aqui pelo local do servidor do seu arquivo wp-config.php renomeado. Observe que este não é um URL, é um caminho relativo à localização do seu servidor. Então, fazendo isso:

incluir (‘www.yourdomain.com/location/futurama-fan-fic.php’);

não funciona.

Como você provavelmente já se reuniu, o que isso fará é criar essencialmente um "atalho”Para o seu arquivo wp-config.php real. Portanto, se alguém hackear o arquivo wp-config.php no diretório do WordPress, tudo o que encontrará é um arquivo apontando para outro arquivo.

Por diversão, você pode adicionar um comentário que diz:

// Obrigado Mario! Mas nossa princesa está em outro castelo!

Etapa 6

Faça o upload do seu novo arquivo wp-config.php para a raiz do WordPress. Substitua o antigo (você fez o backup primeiro, certo?)

Wordpress.org Security- Moving Wp-Config.php

Etapa 7

É isso aí! Navegue até a raiz do blog WordPress.org para garantir que funcionou.

Se você receber um erro que diz:

Aviso: include (/www.seudominio.com.br/localização/futurama-fan-fic.php ') [function.include]: falha ao abrir o fluxo: esse arquivo ou diretório não existe/home/usr/public_html/blog.com/wp-config.php conectados 2

Erro fatal: Chame a função indefinida wp () em /wp-blog-header.php conectados 14

Então isso significa que você digitou no servidorlocal errado no seu arquivo wp-config.php modificado. Se estiver com problemas para determinar o caminho absoluto do seu blog, crie um arquivo .php com o seguinte código:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Isso mostrará o caminho absoluto para qualquer diretório em que o arquivo esteja e também mostrará como se mover acima da pasta public_html.

Se você receber uma mensagem de erro que diz:

Parece não haver um wp-config.php Arquivo. Preciso disso antes que possamos começar. Precisa de mais ajuda? Nós conseguimos. Você pode criar um wp-config.php através de uma interface da web, mas isso não funciona em todas as configurações do servidor. A maneira mais segura é criar manualmente o arquivo.

Então isso significa que não há wp-config.arquivo php na raiz do WordPress.org. Verifique se você carregou o wp-config.php modificado na raiz do WordPress.org ou na pasta logo acima e o renomeado arquivo wp-config.php para outro local, em vez de vice-versa.

Não

Conclusão

Vai mover o seu wp-config.PHP faz seu blog à prova de balas? Certamente não. Mas é apenas uma das etapas que você pode seguir para tornar seu site ou blog mais seguro. E para mim, isso me ajuda a dormir melhor à noite - assim como colocar uma corrente extra ou trava na porta.

Nota: Antes de vasculhar sua estrutura de arquivos, faça backup das coisas e sinta-se confortável com o que está fazendo. Você pode atrapalhar seriamente o seu blog WordPress se excluir a coisa errada. Voce foi avisado.

0

Artigos semelhantes

Deixe um comentário