Harden WordPress Security genom att flytta wp-config.php till en icke-offentlig mapp

Om du inte är bekant ännu, låt mig presentera dig för din wp-config.php fil. Om du driver en självhostad WordPress.org-blogg, din wp-config.php innehåller ditt MySQL-databas användarnamn, ditt MySQL-databaslösenord, dina WordPress-autentiseringsnycklar och annan känslig information. Med den här informationen får en hackare eller skriptkiddie tillgång till allt innehåll på din WordPress-blogg, vilket ger dem fria tyglar för att ta bort dina inlägg, infoga skadlig kod, bakåtlänk till olagliga porrwebbplatser eller vad de än vill ha.

Som standard är wp-config.php sitter i samma mapp som din WordPress-blogg. Så om din bloggs hemsida finns på mysite.com/blog, så är din wp-config.php. Det är inte så hänsynslöst som det verkar eftersom .php-filer är serversidan skript som behandlas av servern. När du tittar på en .php-fil tittar du faktiskt på filens utgång. Detsamma gäller när du visar källan. Det enda sättet att ladda ner råkoden för en .php-fil är via FTP.

Men bara för att du normalt inte kan komma åt en .php-fil betyder det inte att du alltid är säker ...

Olyckor inträffar och sårbarheter finns. Om din webbserverns PHP-konfiguration går sönder, dina MIME-typer inte konfigureras korrekt, eller om din webbserver på annat sätt är felkonfigurerad, kan din webbsida i slutändan visa vanlig text istället för bearbetad PHP-utgång; det är bara några exempel. Och precis som att bli depanterade under en pep-rally i gymnasiet, tar det bara en sekund och innan du kan få tillbaka dina knickers har de sett allt. Ja, de har sett allt.

I denna groovyPost visar jag dig hur du behållerdin wp-config.php med dina användarnamn och lösenord för MySQL-databas säkra (r). Även om ingen webbplats eller blogg är 100% ohackbar, kommer detta snabba tips att göra att hacka din WordPress-blogg svårare för skräddarsydda intrångare än en webbplats som inte har vidtagit dessa försiktighetsåtgärder. Vanligtvis är det bara att vara säkrare än din granne för att avskräcka en hacker-försök till en annan webbplats än din egen. Kom ihåg att om du någonsin är i skogen med en grupp människor och en björn dyker upp - behöver du inte springa snabbare än björnen, bara snabbare än de andra. (och all skämt åt sidan, är Bear mace ditt bästa alternativ om du någonsin är i den situationen)

Flytta din wp-config.php-fil

Med rätt filtillstånd och ett korrektkonfigurerad webbserver, att hålla din wp-config.php-fil i samma offentliga mapp som resten av din blogg borde vara helt bra. Men när det gäller att skydda din webbplats är säkerhet en lök (eller tydligen Ogre); ju fler lager, desto mer har du.

WordPress Codex bekräftar denna känsla ochrekommenderar att du flyttar wp-config.php från sin standardinstallationsplats. WordPress.org självhostade bloggar låter dig flytta din wp-config.php upp en nivå från din bloggs rot. Det är allt bra och bra, men för de flesta webbservrar är en nivå upp från din bloggrot fortfarande en public_html-mapp. Det är bäst att lägga den i en mapp som inte är en underkatalog för din public_html- eller WWW-mapp. På så sätt är chansen att någon når den via en webbläsare eller någon annan HTTP-applikation nästan noll.

Så här gör du:

Steg 1

Öppna din WordPress.org-webbplats via ett FTP-program och navigera till roten.

Steg 2

Ladda ner wp-config.php till din hårddisk.

wordpress säkerhet

Steg 3

Byt namn på det till något annat än wp-config.php.

säkra wp-config.php

Gör det till något nonsensiskt, så någon som snubblar på det (kanske någon som har hackat till din delade server via SSH) kanske inte känner igen det för vad det är. Så istället för att kalla det "off-site-wordpress-config.php” kalla det "futurama-fan-fic.php”.

Steg 4

Ladda upp din bytte namn wp-config.php-fil till en mapp ovanför din public_html- eller www-mapp. Personligen skapade jag en hel katalog för konfigurationsfiler utanför webbplatsen. Men det är förmodligen säkrare att sätta dem någonstans mer slumpmässiga.

Det viktigaste är att uttrycka det utanför av din www eller public_html-mappen.

att sätta wp-config.php utanför www

Steg 5

Öppna anteckningar eller din andra favorit PHP-redigerare.

Dölja din wp-config.php

Skapa en ny wp-config.php-fil som bara innehåller följande kod:

<? Php
innefattar ( ’/ home / usr / hobbies / futurama-fan-fic.php’);
?>

Byt ut katalogen här med servern för din bytt namn till wp-config.php-fil. Observera att detta inte är en URL, det är en sökväg relativt din serverplats. Så gör det:

inkluderar (‘www.yourdomain.com/location/futurama-fan-fic.php’);

kommer inte att fungera.

Som du antagligen har samlat, vad detta kommer att göra är att skapa en "genväg”Till din faktiska wp-config.php-fil. Så om någon hackar din wp-config.php-fil i din WordPress-katalog, allt de hittar är en fil som pekar på en annan fil.

För skojs skull kanske du vill lägga till en kommentar som lyder:

// Tack Mario! Men vår prinsessa är i ett annat slott!

Steg 6

Ladda upp din nya wp-config.php-fil till din WordPress-rot. Skriv över den gamla (du säkerhetskopierade det först, eller hur?).

Wordpress.org Security- Moving Wp-Config.php

Steg 7

Det är allt! Navigera till din WordPress.org-bloggrot för att se till att det fungerade.

Om du får ett fel som lyder:

Varning: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: misslyckades med att öppna strömmen: Ingen sådan fil eller katalog i/home/usr/public_html/blog.com/wp-config.php uppkopplad 2

Allvarligt fel: Ring till odefinierad funktion wp () in /wp-blog-header.php uppkopplad 14

Då betyder det att du skrev in servernplats fel i din modifierade wp-config.php-fil. Om du har problem med att bestämma den absoluta sökvägen för din blogg, skapa en .php-fil med följande kod i den:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Detta visar dig den absoluta sökvägen för vilken katalog filen finns i och lyser också hur du flyttar över mappen public_html.

Om du får ett felmeddelande som läser:

Det verkar inte vara en wp-config.php fil. Jag behöver detta innan vi kan komma igång. Behöver du mer hjälp? Vi har det. Du kan skapa en wp-config.php fil via ett webbgränssnitt, men det fungerar inte för alla serverinställningar. Det säkraste sättet är att manuellt skapa filen.

Då betyder det att det inte finns någon wp-config.php-fil i din WordPress.org-rot. Dubbelkontrollera att du laddat upp den modifierade wp-config.php till din WordPress.org-rot eller mappen precis ovanför den och den nya namnet wp-config.php-filen till en annan plats, snarare än tvärtom.

Det

Slutsats

Flyttar din wp-config.php göra din blogg kortsäker? Absolut inte. Men det är bara ett av stegen du kan vidta för att göra din webbplats eller blogg säkrare. Och för mig hjälper det mig att sova bättre på natten - precis som att sätta en extra kedja eller deadbolt på dörren.

Notera: Innan du går ihop med din filstruktur, se till att du säkerhetskopierar saker och känner dig bekväm med det du gör. Du kan allvarligt krossa din WordPress-blogg om du tar bort fel sak. Du har blivit varnad.

0

Liknande artiklar

Lämna en kommentar