Загартуйте безпеку WordPress, перемістивши wp-config.php в непублічну папку

Якщо ви ще не були знайомі, дозвольте познайомити вас із вашими wp-config.php файл. Якщо ви запускаєте WordPress з власною організацією.org блог, ваш wp-config.php містить ваше ім'я бази даних MySQL, пароль бази даних MySQL, ваші ключі аутентифікації WordPress та іншу конфіденційну інформацію. З цією інформацією хакерський або скриптовий малюк отримує доступ до кожного вмісту вашого блогу WordPress, надаючи їм можливість безкоштовно видаляти ваші публікації, вставляти шкідливий код, зворотну посилання на нелегальні порносайти та все, що вони хочуть.

За замовчуванням wp-config.php сидить у тій же папці, що і ваш блог WordPress. Отже, якщо домашня сторінка вашого блогу знаходиться на веб-сайті mysite.com/blog, то ваш wp-config.php. Це не так безрозсудно, як здається, оскільки є .php файли сценарії на стороні сервера які обробляються сервером. Переглядаючи файл .php, ви насправді дивитесь на вихід файлу. Те саме стосується перегляду джерела. Єдиний спосіб завантажити необроблений код .php-файлу - через FTP.

Але те, що ти не можеш нормально отримати доступ до файлу .php, не означає, що ти завжди в безпеці ...

Аварії трапляються, і вразливості існують. Якщо конфігурація PHP вашого веб-сервера виходить з ладу, типи MIME не налаштовані правильно або ваш веб-сервер неправильно налаштований, ваша веб-сторінка може відображати звичайний текст замість обробленого виводу PHP; це лише кілька прикладів. І подібно до того, як вас демонструють під час мітингу в середній школі, це займає лише частку секунди, і перш ніж ви зможете отримати свої в'язані штани, вони все побачили. Так, вони все це бачили

У цьому groovyPost я покажу вам, як триматисьваш wp-config.php із безпечним іменем користувачів та паролями бази даних MySQL (r). Незважаючи на те, що жоден веб-сайт чи щоденник не можуть бути зламані на 100%, ця швидка порада зробить злом вашого блогу WordPress більш важким для зловмисників, ніж сайт, який не вжив цих заходів безпеки. Зазвичай просто бути більш безпечним, ніж ваш сусід, достатньо, щоб стримувати зусилля потенційного хакера на веб-сайті, відмінному від вашого. Пам’ятайте, якщо ви коли-небудь в лісі з групою людей і ведмідь з’являється - вам не потрібно бігати швидше, ніж ведмідь, просто швидше, ніж інші люди. (і все жартуючи вбік, Ведмежа булава - це ваша найкраща ставка, якщо ви коли-небудь справді знаходитесь у цій ситуації)

Переміщення файлу wp-config.php

З правильними дозволами для файлів і правильноналаштований веб-сервер, зберігаючи ваш файл wp-config.php в тій же загальнодоступній папці, що і решта вашого блогу, має бути ідеально добре. Але якщо мова йде про захист вашого веб-сайту, безпека - це цибуля (або Огре, мабуть); чим більше шарів, тим більше у вас є.

WordPress Codex підтверджує ці настрої ірекомендує перемістити wp-config.php від його місця установки за замовчуванням. Блоги, що розміщуються в WordPress.org, дозволяють вам перемістити wp-config.php вгору на один рівень від кореня вашого блогу. Це все добре і добре, але для більшості веб-серверів один рівень вище від кореня вашого блогу ще папку public_html. Вам найкраще помістити його в папку, яка не є підкаталогом вашої public_html або папки WWW. Таким чином, шанси когось досягти цього через веб-браузер або будь-який інший додаток HTTP практично не дорівнює.

Ось що ви робите:

Крок 1

Доступ до свого сайту WordPress.org через програму FTP та перейдіть до кореня.

Крок 2

Завантажте wp-config.php на свій жорсткий диск.

Крок 3

Перейменуйте його на щось інше, ніж wp-config.php.

Зробіть це чимось безглуздим, тому хтось, хто натикається на нього (можливо, хтось увірвався на ваш спільний сервер через SSH) може не визнати його таким, яким він є. Тож замість того, щоб називати це "off-site-wordpress-config.php » назви це "futurama-fan-fic.php. "

Крок 4

Завантажте перейменований wp-config.php-файл у папку над папкою public_html або www. Особисто я створив цілий каталог для файлів конфігурацій поза сайтом. Але, напевно, безпечніше їх розміщувати кудись більш випадковими.

Найголовніше - це поставити зовні вашої www або папку public_html.

Крок 5

Відкрийте блокнот або інший улюблений редактор PHP.

Створіть новий файл wp-config.php, який містить лише такий код:

<? php
включити ('/ home / usr / hobbies / futurama-fan-fic.php');
?>

Замініть тут каталог на місце розташування сервера перейменованого файлу wp-config.php. Зауважте, що це не URL-адреса, це шлях щодо вашого сервера. Отже, роблячи:

включити (‘www.yourdomain.com/location/futurama-fan-fic.php’);

НЕ буде працювати.

Як ви, напевно, зібралися, що це зробить, це по суті створити "ярлик"У ваш фактичний файл wp-config.php. Отже, якщо хтось зламає ваш файл wp-config.php у вашому каталозі WordPress, він знайде лише файл, який вказує на інший файл.

Для задоволення ви можете додати коментар, який глазує:

// Дякую Маріо! Але наша принцеса в іншому замку!

Крок 6

Завантажте новий файл wp-config.php у свій корінець WordPress. Перепишіть старий (ти створив резервну копію спочатку, правда?).

Wordpress.org Безпека - переміщення Wp-Config.php

Крок 7

Це воно! Перейдіть до кореня свого блогу WordPress.org, щоб переконатися, що він працював.

Якщо ви отримаєте помилку, яка гласить:

Увага: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: не вдалося відкрити потік: Немає такого файлу чи каталогу в/home/usr/public_html/blog.com/wp-config.php на лінії 2

Фатальна помилка: Виклик невизначеної функції wp () in /wp-blog-header.php на лінії 14

Тоді це означає, що ви ввели серверу вашому зміненому файлі wp-config.php неправильне розташування. Якщо у вас виникли проблеми з визначенням абсолютного шляху вашого блогу, створіть .php файл із таким кодом:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Це покаже вам абсолютний шлях до будь-якої директорії, в якій знаходиться файл, а також висвітлить спосіб переміщення над папкою public_html.

Якщо ви отримаєте повідомлення про помилку, яке глазує:

Здається, це не таке wp-config.php файл. Мені це потрібно, перш ніж ми зможемо розпочати роботу. Потрібна додаткова допомога? Ми це отримали. Ви можете створити wp-config.php файл через веб-інтерфейс, але це не працює для всіх налаштувань сервера. Найбезпечніший спосіб - створити файл вручну.

Тоді це означає, що немає wp-config.php-файл у вашому корені WordPress.org. Двічі перевірте, що ви завантажили модифікований wp-config.php у свій корінь WordPress.org або папку над ним та перейменований файл wp-config.php в інше місце, а не навпаки.

Висновок

Перемістить ваш wp-config.php зробити ваш блог бронезахисним? Звичайно, ні. Але це лише один із кроків, які ви можете зробити для підвищення безпеки свого веб-сайту чи блогу. А для мене це допомагає мені краще спати вночі - подібно до того, як надягати зайвий ланцюжок або болт на двері.

Примітка: Перш ніж переглядати структуру файлів, переконайтесь, що ви створюєте резервні копії та відчуваєте себе комфортно з тим, що ви робите. Ви можете серйозно зіпсувати свій блог WordPress, якщо видалите неправильну річ. Вас попередили