Îndurează securitatea WordPress Deplasând wp-config.php într-o Folder non-public
În cazul în care nu ați fost încă cunoscut, permiteți-mă să vă prezint wp-config.php fişier. Dacă rulați un WordPress găzduit de sine stătător.org blog, wp-config.php conține numele de utilizator al bazei de date MySQL, parola bazei de date MySQL, cheile de autentificare WordPress și alte informații sensibile. Cu aceste informații, un hacker sau script kiddie primește acces la fiecare bucată de conținut de pe blogul tău WordPress, oferindu-le frâu liber pentru a-ți șterge postările, a insera cod rău intenționat, a face backlink către site-uri porno ilegale sau orice altceva doresc.
În mod implicit, wp-config.php se află în același dosar ca blogul tău WordPress. Deci, dacă pagina principală a blogului dvs. este la mysite.com/blog, la fel wp-config.php. Acest lucru nu este la fel de nechibzuit, parcă ar fi fișierele .php scripturi din partea serverului care sunt procesate de server. Când te uiți la un fișier .php, te uiți efectiv la ieșirea fișierului. Același lucru este valabil și atunci când vedeți sursa. Singura modalitate de a descărca codul brut al unui fișier .php este prin FTP.
Dar, pur și simplu pentru că nu puteți accesa în mod normal un fișier .php, nu înseamnă că sunteți întotdeauna în siguranță ...
Se întâmplă accidente și există vulnerabilități. Dacă configurația PHP a serverului dvs. web se descompune, tipurile dvs. MIME nu sunt configurate corect sau dacă serverul dvs. Web nu este configurat greșit, pagina dvs. web poate ajunge să servească text simplu în loc de ieșire PHP procesată; adică sunt doar câteva exemple. Și, la fel cum ați fost depășit în timpul unui miting în auditoriul liceului, este nevoie doar de o secundă și înainte să vă puteți recupera spatele, au văzut totul. Da, au văzut totul.
În acest post groovy, vă voi arăta cum să păstrațiwp-config.php cu baza de date MySQL nume de utilizator și parole safe (r) safe. Deși niciun site web sau blog nu este 100% ne-hackabil, acest sfat rapid va face ca hacking-ul dvs. WordPress să fie mai dificil pentru intrusi decât un site care nu a luat aceste precauții. De obicei, doar a fi mai sigur decât aproapele tău este suficient pentru a descuraja eforturile unui hacker care ar fi un hacker către un alt site decât al tău. Amintiți-vă, dacă sunteți vreodată în pădure cu un grup de oameni și un urs apare - nu trebuie să alergați mai repede decât ursul, doar mai repede decât ceilalți. (și toate glumind deoparte, Ursul de mază este cel mai bun pariu dacă sunteți vreodată într-o situație)
Mutarea fișierului dvs. wp-config.php
Cu permisiuni de fișiere corecte și corectserverul web configurat, păstrând fișierul wp-config.php în același folder public ca restul blogului dvs. ar trebui să fie perfect. Dar, când vine vorba de protejarea site-ului dvs. web, securitatea este o ceapă (sau aparent Ogre); cu cât sunt mai multe straturi, cu atât ai mai multe.
Codexul WordPress afirmă acest sentiment șirecomandă să vă mutați wp-config.php de locația de instalare implicită. Blogurile găzduite de WordPress.org vă permit să mutați wp-config.php la un nivel de la rădăcina blogului dvs. Este totul bine, dar pentru majoritatea serverelor web, un nivel de la rădăcina blogului dvs. este încă un folder public_html. Cel mai bine este să-l plasați într-un folder care nu este un subdirector al folderului public_html sau WWW. În acest fel, șansele ca cineva să ajungă prin intermediul unui browser web sau al oricărei alte aplicații HTTP sunt practic nule.
Iată ce faceți:
Pasul 1
Accesați site-ul dvs. WordPress.org printr-un program FTP și navigați la rădăcină.
Pasul 2
Descărcați wp-config.php pe hard disk.

Pasul 3
Redenumiți-l în altceva decât wp-config.php.

Faceți din ea ceva nesensibil, astfel încât cineva care se poticnește cu el (poate cineva care v-a piratat serverul partajat prin SSH) s-ar putea să nu-l recunoască pentru ceea ce este. Deci, în loc să-l numim „off-site-WordPress-config.php“ numiți-l „futurama-fan-fic.php.“
Pasul 4
Încărcați wp-config redenumit.fișier php într-un folder deasupra folderului public_html sau www. Personal, am creat un director întreg pentru fișierele de configurare din afara site-ului. Dar este probabil mai sigur să le puneți undeva mai întâmplător.
Cel mai important este să îl pui in afara de dumneavoastră www sau folderul public_html.

Pasul 5
Deschideți un bloc de notițe sau alt editor PHP preferat.

Creați un nou fișier wp-config.php care conține doar următorul cod:
<? Php
includ ( „/ home / usr / hobby-uri / Futurama-fan-fic.php“);
?>
Înlocuiți directorul aici cu locația serverului fișierului redenumit wp-config.php. Rețineți că aceasta nu este o adresă URL, ci o cale relativă la locația serverului. Deci, făcându-l:
include („www.yourdomain.com/location/futurama-fan-fic.php”);
nu va funcționa.
După cum probabil ați adunat, ceea ce va face acest lucru este, în esență, să creați un „scurtătură”La fișierul dvs. wp-config.php. Deci, dacă cineva îți piratează fișierul wp-config.php din directorul WordPress, tot ce va găsi este un fișier îndreptat către un alt fișier.
Pentru distracție, poate doriți să adăugați un comentariu care scrie:
// Mulțumesc Mario! Dar prințesa noastră este în alt castel!
Pasul 6
Încarcă noul fișier wp-config.php în rădăcina WordPress. Suprascrierea celui vechi (ai susținut-o mai întâi, nu?).

Pasul 7
Asta e! Navigați la rădăcina blogului dvs. WordPress.org pentru a vă asigura că a funcționat.
Dacă primiți o eroare care citește:
Avertizare: include (/www.yourdomain.com/location/futurama-fan-fic.php ") [function.include]: nu a reușit să deschidă fluxul: Nu există un astfel de fișier sau director în/home/usr/public_html/blog.com/wp-config.php pe net 2
Eroare fatala: Apelați la funcția nedefinită wp () în /wp-blog-header.php pe net 14
Apoi înseamnă că ați introdus serverullocație greșită în fișierul wp-config.php modificat. Dacă aveți probleme pentru a determina calea absolută a blogului dvs., creați un fișier .php cu următorul cod în el:
<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>
Acest lucru vă va arăta calea absolută pentru orice director în care se află fișierul și va ilustra, de asemenea, cum să vă deplasați deasupra folderului public_html.
Dacă primiți un mesaj de eroare care citește:
Se pare că nu există wp-config.php
fişier. Am nevoie de asta înainte să putem începe. Ai nevoie de mai mult ajutor? Am inteles. Puteți crea un wp-config.php
fișier printr-o interfață web, dar acest lucru nu funcționează pentru toate setările serverului. Cel mai sigur mod este de a crea manual fișierul.
Atunci înseamnă că nu există wp-config.fișier php din rădăcina WordPress.org. Verificați dublu dacă ați încărcat wp-config.php modificat în rădăcina WordPress.org sau folderul aflat deasupra acesteia și a redenumit fișierul wp-config.php într-o altă locație, mai degrabă decât invers.

Concluzie
Vă va muta wp-config.php face blogul tău antiglonț? Cu siguranta nu. Dar este doar unul dintre pașii pe care îi puteți face pentru a face site-ul sau blogul dvs. mai sigure. Și pentru mine, mă ajută să dorm mai bine noaptea - la fel ca să pun un lanț în plus sau un blocaj mortal pe ușă.
Notă: Înainte să te contorci de structura fișierului tău, asigură-te că faci lucrurile în rezervă și te simți confortabil cu ceea ce faci. Ai putea să-ți încurci serios blogul WordPress dacă ștergi un lucru greșit. Ați fost avertizat
Lasa un comentariu