Zvýšte bezpečnosť WordPress presunutím súboru wp-config.php do neverejného priečinka

V prípade, že ste sa ešte neoboznámili, dovoľte mi, aby som vás predstavil wp-config.php file. Ak prevádzkujete WordPress s vlastným hosťovaním.org blog, váš wp-config.php obsahuje vaše užívateľské meno pre databázu MySQL, vaše heslo k databáze MySQL, vaše autentifikačné kľúče WordPress a ďalšie citlivé informácie. Na základe týchto informácií získa hacker alebo skriptový dieťa prístup k všetkým častiam obsahu na vašom blogu WordPress, čo im umožňuje bezplatne odstraňovať vaše príspevky, vkladať škodlivý kód, spätný odkaz na nelegálne porno stránky alebo čokoľvek iné, čo chcú.

Štandardne je to wp-config.php sa nachádza v rovnakom priečinku ako váš blog WordPress. Ak je domovská stránka vášho blogu na adrese mysite.com/blog, je to aj váš súbor wp-config.php. To nie je také bezohľadné, ako sa zdá, pretože súbory .php sú skripty na strane servera ktoré sú spracovávané serverom. Keď sa pozeráte na súbor .php, skutočne sa pozeráte na výstup súboru. To isté platí aj pri prezeraní zdroja. Jediný spôsob, ako stiahnuť surový kód súboru .php, je cez FTP.

Ale to, že k súboru .php zvyčajne nemáte prístup, neznamená, že ste vždy v bezpečí ...

Stávajú sa nehody a existujú zraniteľné miesta. Ak dôjde k poruche konfigurácie PHP vášho webového servera, typy MIME nie sú správne nastavené alebo je váš webový server inak nesprávne nakonfigurovaný, vaša webová stránka môže namiesto spracovaného výstupu PHP skončiť zobrazovaním obyčajného textu; to je len niekoľko príkladov. A rovnako ako to, že sú zdržiavaní počas zhromaždenia v posluchárni na vysokej škole, trvá to len zlomok sekundy a predtým, ako budete mať späť svoje nohavičky, už videli všetko. Áno, videli to všetko.

V tomto groovyPost vám ukážem, ako si udržaťvaše wp-config.php s bezpečným užívateľským menom a heslom databázy MySQL (r). Aj keď žiadny web alebo blog nie je stopercentne nezabezpečiteľný, tento rýchly tip spôsobí, že hackovanie vášho blogu WordPress bude ťažšie pre prípadných votrelcov ako web, ktorý tieto preventívne opatrenia neprijal. Zvyčajne stačí byť bezpečnejší ako váš sused, aby odradil prípadného hackerského úsilia na webe, ktorý nie je váš. Pamätajte, že ak ste niekedy v lese so skupinou ľudí a objaví sa medveď - nemusíte bežať rýchlejšie ako medveď, len rýchlejšie ako ostatní ľudia. (a všetky vtipky stranou, Bear mace je vaša najlepšia stávka, ak ste niekedy naozaj v tejto situácii)

Premiestnenie súboru wp-config.php

So správnymi povoleniami súborov a správneAk chcete, aby bol váš súbor wp-config.php v rovnakom verejnom priečinku ako zvyšok blogu, mal by byť dokonale v poriadku. Pokiaľ však ide o ochranu vašich webových stránok, bezpečnosť je cibuľa (alebo Ogre); čím viac vrstiev, tým viac toho máte.

WordPress Codex potvrdzuje tento sentiment aodporúča presunúť váš wp-config.php z jeho predvoleného inštalačného umiestnenia. Blogy hostené používateľom WordPress.org vám umožňujú presunúť váš súbor wp-config.php o jednu úroveň vyššie od koreňa blogu. To je všetko v poriadku a dobré, ale pre väčšinu webových serverov je o jednu úroveň vyššie od vášho koreňa blogu stále public_html priečinok. Najlepšie je umiestniť ho do priečinka, ktorý nie je podadresárom vášho priečinka public_html alebo WWW. Pravdepodobnosť, že sa ho niekto dostane cez webový prehliadač alebo akúkoľvek inú aplikáciu HTTP, je teda takmer nulová.

Postupujte takto:

Krok 1

Prejdite na svoj web WordPress.org cez program FTP a prejdite do koreňového adresára.

Krok 2

Stiahnite si wp-config.php na pevný disk.

Krok 3

Premenujte ho na niečo iné ako wp-config.php.

Nech je to niečo nezmyselné, takže niekto, kto na to narazí (možno niekto, kto sa na váš zdieľaný server vrhol prostredníctvom SSH) možno to nerozpozná, o čo ide. Namiesto toho, aby sme to nazvali „off-site-WordPress-config.php " volaj to "futurama-fan-fic.php. "

Krok 4

Nahrajte svoje premenované wp-config.súbor php do priečinka nad adresárom public_html alebo www. Osobne som vytvoril celý adresár pre konfiguračné súbory mimo lokality. Pravdepodobne je však bezpečnejšie umiestniť ich niekde náhodnejšie.

Najdôležitejšie je povedať to zvonka z tvojho www alebo public_html priečinok.

Krok 5

Otvorte program Poznámkový blok alebo iný obľúbený editor PHP.

Vytvorte nový súbor wp-config.php, ktorý obsahuje iba nasledujúci kód:

<? Php
zahŕňajú (, / home / usr / záľuby / futurama-fan-fic.php ');
?>

Sem nahraďte adresár serverovým umiestnením premenovaného súboru wp-config.php. Upozorňujeme, že nejde o adresu URL, ide o cestu vo vzťahu k umiestneniu vášho servera. Takže:

zahrnúť („www.yourdomain.com/location/futurama-fan-fic.php“);

nebudem pracovať.

Ako ste sa pravdepodobne zhromaždili, to, čo urobíte, je v podstate vytvoriť „skratka“Do vášho skutočného súboru wp-config.php. Ak teda niekto vo vašom adresári WordPress hackne váš súbor wp-config.php, nájde iba súbor smerujúci do iného súboru.

Pre väčšiu zábavu, môžete pridať komentár, ktorý znie:

// Ďakujem Mario! Ale naša princezná je v inom zámku!

Krok 6

Nahrajte svoj nový súbor wp-config.php do svojho koreňového adresára WordPress. Prepíšte starý (najskôr si to zálohoval, však?).

Wordpress.org Zabezpečenie - pohybujúce sa Wp-Config.php

Krok 7

To je všetko! Prejdite do koreňového adresára blogu WordPress.org, aby ste sa uistili, že funguje.

Ak sa zobrazí chyba, ktorá znie:

Výstraha: include (/www.yourdomain.com/location/futurama-fan-fic.php ’) [function.include]: nepodarilo sa otvoriť stream: žiadny taký súbor alebo adresár v/home/usr/public_html/blog.com/wp-config.php on-line 2

Fatálna chyba: Volanie na nedefinovanú funkciu wp () v systéme Windows /wp-blog-header.php on-line 14

To znamená, že ste zadali servernesprávne umiestnenie v upravenom súbore wp-config.php. Ak máte problém určiť absolútnu cestu svojho blogu, vytvorte súbor .php s nasledujúcim kódom:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Toto vám ukáže absolútnu cestu pre ľubovoľný adresár, v ktorom sa súbor nachádza, a bude tiež osvetľovať, ako sa presunúť nad priečinok public_html.

Ak sa zobrazí chybová správa s nasledujúcim textom:

Nezdá sa, že by existoval wp-config.php file. Potrebujem to skôr, ako môžeme začať. Potrebujete ďalšiu pomoc? Máme to. Môžete vytvoriť wp-config.php súbor cez webové rozhranie, ale to nefunguje pre všetky nastavenia servera. Najbezpečnejším spôsobom je manuálne vytvorenie súboru.

Znamená to, že neexistuje konfigurácia wp.php súbor v koreňovom adresári WordPress.org. Skontrolujte, či ste upravený súbor wp-config.php odovzdali do svojho koreňového adresára WordPress.org alebo do priečinka tesne nad ním a do premenovaného súboru wp-config.php na iné miesto než naopak.

záver

Presunie sa vaša konfigurácia wp.php, aby váš blog nepriestrelný? Rozhodne nie. Je to však len jeden z krokov, ktoré môžete urobiť, aby sa vaše webové stránky alebo blog stali bezpečnejšími. A pre mňa to pomáha lepšie spať v noci - rovnako ako kladenie extra reťaze alebo slepej uličky na dvere.

Poznámka: Skôr ako sa pustíte do štruktúry súboru, nezabudnite veci zálohovať a cítiť sa pohodlne s tým, čo robíte. Ak odstránite nesprávnu vec, mohli by ste vážne pokaziť svoj blog WordPress. Varovali vás.