ความปลอดภัยของเวิร์ดเพรสโดยการย้าย wp-config.php ไปยังโฟลเดอร์ที่ไม่เป็นสาธารณะ

ในกรณีที่คุณยังไม่คุ้นเคยให้ฉันแนะนำคุณ wp-config.php ไฟล์. หากคุณใช้งาน WordPress ที่โฮสต์เองบล็อกองค์กร, wp-config.php ของคุณมีชื่อผู้ใช้ฐานข้อมูล MySQL ของคุณ, รหัสผ่านฐานข้อมูล MySQL, คีย์การรับรองความถูกต้อง WordPress ของคุณและข้อมูลที่สำคัญอื่น ๆ ด้วยข้อมูลนี้แฮ็กเกอร์หรือสคริปต์ตัวเล็กเข้าถึงเนื้อหาทุกส่วนในบล็อก WordPress ของคุณให้พวกเขาฟรีบังเหียนเพื่อลบโพสต์ของคุณแทรกรหัสที่เป็นอันตรายลิงก์ย้อนกลับไปยังเว็บไซต์ลามกผิดกฎหมายหรืออะไรก็ตามที่พวกเขาต้องการ

โดยค่าเริ่มต้น wp-configphp อยู่ในโฟลเดอร์เดียวกับบล็อก WordPress ของคุณ ดังนั้นหากหน้าแรกของบล็อกของคุณอยู่ที่ mysite.com/blog ก็คือ wp-config.php ของคุณ นั่นไม่ใช่ความประมาทเหมือนที่ปรากฏตั้งแต่ไฟล์. php สคริปต์ฝั่งเซิร์ฟเวอร์ ที่ประมวลผลโดยเซิร์ฟเวอร์ เมื่อคุณดูไฟล์. php จริงๆแล้วคุณกำลังดูเอาต์พุตของไฟล์ เช่นเดียวกับเมื่อคุณดูแหล่งที่มา วิธีเดียวในการดาวน์โหลดรหัสดิบของไฟล์. php คือผ่าน FTP

แต่เพียงเพราะคุณไม่สามารถเข้าถึงไฟล์. php ปกติไม่ได้หมายความว่าคุณจะปลอดภัยเสมอ ...

อุบัติเหตุเกิดขึ้นและมีช่องโหว่ หากการกำหนดค่า PHP ของเว็บเซิร์ฟเวอร์ของคุณผิดพลาดประเภท MIME ของคุณจะไม่ได้รับการตั้งค่าอย่างถูกต้องหรือเว็บเซิร์ฟเวอร์ของคุณไม่ได้รับการกำหนดค่าผิดพลาดหน้าเว็บของคุณอาจสิ้นสุดการแสดงข้อความธรรมดาแทนการประมวลผล PHP นั่นเป็นเพียงตัวอย่างเล็ก ๆ น้อย ๆ และเช่นเดียวกับการถูกคุมขังในระหว่างการชุมนุมในหอประชุมโรงเรียนมัธยมใช้เวลาเพียงเสี้ยววินาทีและก่อนที่คุณจะกลับไปที่ห้องนั่งเล่นที่พวกเขาเห็นทุกสิ่ง ใช่พวกเขาเห็นมันทั้งหมด

ใน groovyPost นี้ฉันจะแสดงวิธีการรักษาwp-config.php ของคุณด้วยชื่อผู้ใช้ฐานข้อมูล MySQL และรหัสผ่านที่ปลอดภัย (r) ในขณะที่ไม่มีเว็บไซต์หรือบล็อกใดที่ไม่สามารถแฮ็กข้อมูลได้ 100% เคล็ดลับด่วนนี้จะทำให้การแฮ็คบล็อก WordPress ของคุณยากขึ้นสำหรับผู้บุกรุกที่ต้องการมากกว่าไซต์ที่ไม่ได้ใช้มาตรการป้องกันเหล่านี้ โดยปกติแล้วการมีความปลอดภัยมากกว่าเพื่อนบ้านของคุณก็เพียงพอที่จะยับยั้งความพยายามที่แฮ็กเกอร์จะไปยังไซต์อื่นนอกเหนือจากของคุณเอง โปรดจำไว้ว่าหากคุณอยู่ในป่าพร้อมกับคนกลุ่มหนึ่งและมีหมีปรากฏตัว - คุณไม่ต้องวิ่งเร็วกว่าหมีเลยเร็วกว่าคนอื่น (และทุกคนก็ล้อเล่นกัน Bear mace เป็นทางออกที่ดีที่สุดของคุณหากคุณเคยอยู่ในสถานการณ์เช่นนั้นจริงๆ)

ย้ายไฟล์ wp-config.php ของคุณ

ด้วยสิทธิ์การใช้ไฟล์ที่ถูกต้องและถูกต้องเว็บเซิร์ฟเวอร์ที่กำหนดค่าไว้ทำให้ไฟล์ wp-config.php ของคุณอยู่ในโฟลเดอร์สาธารณะเดียวกับบล็อกที่เหลือของคุณ แต่เมื่อมันมาถึงการปกป้องเว็บไซต์ของคุณความปลอดภัยคือหัวหอม (หรือ Ogre apparently); ยิ่งคุณมีเลเยอร์มากเท่าไหร่

WordPress Codex ยืนยันความเชื่อมั่นนี้และแนะนำให้คุณย้าย wp-config.php ออกจากตำแหน่งการติดตั้งเริ่มต้น WordPress.org บล็อกที่โฮสต์เองช่วยให้คุณย้าย wp-config.php ขึ้นไปหนึ่งระดับจากรูทบล็อกของคุณ ทั้งหมดนี้เป็นสิ่งที่ดีและดี แต่สำหรับเว็บเซิร์ฟเวอร์ส่วนใหญ่ระดับหนึ่งขึ้นมาจากรูทบล็อกของคุณคือ ยังคง โฟลเดอร์ public_html คุณควรวางไว้ในโฟลเดอร์ที่ไม่ใช่ไดเรกทอรีย่อยของโฟลเดอร์ public_html หรือ WWW ของคุณ ด้วยวิธีนี้โอกาสในการเข้าถึงใครสักคนผ่านเว็บเบราว์เซอร์หรือแอปพลิเคชั่น HTTP อื่น ๆ นั้นแทบไม่มีเลย

นี่คือสิ่งที่คุณทำ:

ขั้นตอนที่ 1

เข้าถึงเว็บไซต์ WordPress.org ของคุณผ่านทางโปรแกรม FTP และไปที่รูท

ขั้นตอนที่ 2

ดาวน์โหลด wp-config.php ไปยังฮาร์ดไดรฟ์ของคุณ

ขั้นตอนที่ 3

เปลี่ยนชื่อเป็นอื่นนอกเหนือจาก wp-config.php

ทำให้เป็นเรื่องไร้สาระดังนั้นคนที่สะดุดมัน (อาจเป็นคนที่แฮ็คเข้าสู่เซิร์ฟเวอร์ที่ใช้ร่วมกันของคุณผ่าน SSH) อาจไม่รู้จักสิ่งที่มันเป็น ดังนั้นแทนที่จะเรียกมันว่า“ปิดเว็บไซต์ WordPress-config.php” เรียกมันว่า“futurama-fan-fic.php.”

ขั้นตอนที่ 4

อัปโหลด wp-config ที่เปลี่ยนชื่อของคุณไฟล์ php ไปยังโฟลเดอร์ด้านบน public_html หรือโฟลเดอร์ www ของคุณ ส่วนตัวฉันสร้างไดเรกทอรีทั้งหมดสำหรับไฟล์กำหนดค่านอกสถานที่ แต่มันอาจปลอดภัยกว่าถ้าจะวางสุ่มไว้

สิ่งสำคัญที่สุดคือการใส่มัน ด้านนอก ของคุณ www หรือโฟลเดอร์ public_html

ขั้นตอนที่ 5

เปิด notepad หรือตัวแก้ไข PHP รายการโปรดอื่น ๆ ของคุณ

สร้างไฟล์ wp-config.php ใหม่ที่มีเฉพาะรหัสต่อไปนี้:

แทนที่ไดเร็กทอรีที่นี่ด้วยตำแหน่งเซิร์ฟเวอร์ของไฟล์ wp-config.php ที่เปลี่ยนชื่อของคุณ โปรดทราบว่านี่ไม่ใช่ URL แต่เป็นเส้นทางที่สัมพันธ์กับที่ตั้งเซิร์ฟเวอร์ของคุณ ดังนั้นทำให้มัน

จะไม่ทำงาน.

เมื่อคุณรวมตัวกันสิ่งที่จะทำคือสร้าง“ทางลัด” เป็นไฟล์ wp-config.php ที่แท้จริงของคุณ ดังนั้นหากมีคนแฮ็กไฟล์ wp-config.php ของคุณในไดเรกทอรี WordPress สิ่งที่พวกเขาพบคือไฟล์ที่ชี้ไปยังไฟล์อื่น

เพื่อความสนุกคุณอาจต้องการเพิ่มความคิดเห็นที่อ่าน:

ขั้นตอนที่ 6

อัปโหลดไฟล์ wp-config.php ใหม่ไปยังรูท WordPress ของคุณ เขียนทับเก่า (คุณสำรองข้อมูลก่อนใช่มั้ย)

ขั้นตอนที่ 7

แค่นั้นแหละ! ไปที่รูทบล็อก WordPress.org ของคุณเพื่อให้แน่ใจว่าทำงานได้

หากคุณได้รับข้อผิดพลาดที่อ่าน:

จากนั้นหมายความว่าคุณพิมพ์ในเซิร์ฟเวอร์ตำแหน่งผิดพลาดในไฟล์ wp-config.php ที่แก้ไขของคุณ หากคุณมีปัญหาในการพิจารณาเส้นทางที่แน่นอนของบล็อกของคุณให้สร้างไฟล์. php ด้วยรหัสต่อไปนี้:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

นี่จะแสดงพา ธ สัมบูรณ์สำหรับไดเรกทอรีใดก็ตามที่ไฟล์นั้นอยู่และจะส่องสว่างวิธีย้ายไปยังโฟลเดอร์ public_html

หากคุณได้รับข้อความแสดงข้อผิดพลาดที่อ่าน:

จากนั้นก็หมายความว่าไม่มี wp-configไฟล์ php ในราก WordPress.org ของคุณ ตรวจสอบอีกครั้งว่าคุณอัปโหลด wp-config.php ไปยังรูท WordPress.org หรือโฟลเดอร์ด้านบนแล้วและเปลี่ยนชื่อไฟล์ wp-config.php ไปยังตำแหน่งอื่นแทนที่จะเป็นในทางกลับกัน

ข้อสรุป

จะย้าย wp-config ของคุณphp ทำให้บล็อกของคุณกันกระสุนได้หรือไม่ ไม่แน่นอน แต่เป็นเพียงหนึ่งในขั้นตอนที่คุณสามารถทำให้เว็บไซต์หรือบล็อกของคุณปลอดภัยยิ่งขึ้น และสำหรับฉันมันช่วยให้ฉันนอนหลับได้ดีขึ้นในเวลากลางคืนเช่นเดียวกับการใส่โซ่พิเศษหรือสลักเกลียวไว้ที่ประตู

บันทึก: ก่อนที่คุณจะเข้าไปยุ่งเกี่ยวกับโครงสร้างไฟล์ตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลและรู้สึกสบายใจกับสิ่งที่คุณทำ คุณสามารถบล็อก WordPress ของคุณอย่างจริงจังหากคุณลบสิ่งที่ผิด คุณได้รับการเตือน