A WordPress biztonság megerősítése A wp-config.php áthelyezése egy nem nyilvános mappába
Abban az esetben, ha még nem ismerkedtek meg, hadd mutassam be a wp-config.php fájlját. Ha önálló hosted WordPress.org blogot futtat, a wp-config.php tartalmazza a MySQL adatbázis felhasználónevét, a MySQL adatbázis jelszavát, a WordPress hitelesítési kulcsokat és más érzékeny információkat. Ezekkel az információkkal a hacker vagy script kiddie hozzáférést kap a WordPress blog minden tartalmához, így szabadon hagyhatja a bejegyzéseit, a rosszindulatú kódokat, a háttértárat az illegális pornóhelyekhez vagy bármi máshoz.
A wp-config.php alapértelmezés szerint ugyanabban a mappában ül, mint a WordPress blogja. Tehát, ha a blogja honlapja mysite.com/blog, akkor a wp-config.php is. Ez nem olyan bizonytalan, mint amilyennek látszik, mivel az .php fájlok szerveroldali parancsfájlok, amelyeket a szerver feldolgoz. Ha egy .php fájlt keres, valójában a fájl kimenetét vizsgálja. Ugyanez érvényes a forrás megtekintése esetén is. Az egyetlen .php fájl nyers kódjának letöltése az FTP-n keresztül.
De azért, mert általában nem fér hozzá egy .php fájlhoz, nem jelenti azt, hogy mindig biztonságban vagy ...
Balesetek következnek be, és sebezhetőek vannak. Ha a webszerver PHP-konfigurációja leáll, a MIME-típusai nincsenek megfelelően beállítva, vagy a webszerver egyébként rosszul van beállítva, a weboldal a feldolgozott PHP kimenet helyett egyszerű szöveget jeleníthet meg; ez csak néhány példa. És éppúgy, mint a középiskolai auditorium pep rally alatt való elcsúszása, csak másodpercet vesz igénybe, és mielőtt visszaszállítaná a nadrágját, mindent láttak. Igen, mindent láttak.
Ebben a groovyPostban megmutatom, hogyan kell a wp-config.php-t megőrizni a MySQL adatbázisban a felhasználónevek és a jelszavak biztonsága (r). Bár egyetlen weboldal vagy blog sem 100% -ban nem letölthető, ez a gyors tipp a WordPress blogjának megnehezíti az esetleges betolakodókat, mint egy webhely, amely nem tartotta be ezeket az óvintézkedéseket. Általában csak azért, hogy biztonságosabbak legyenek, mint a szomszédod, elegendő ahhoz, hogy megakadályozza a hacker erőfeszítéseit a saját webhelyén kívül. Ne felejtsd el, ha valaha is az erdőben egy embercsoport és egy medve jelenik meg - nem kell gyorsabban futnia, mint a medve, gyorsabban, mint a többieknél. ( és minden viccet félretéve, Bear cica a legjobb fogadás, ha valaha is tényleg ebben a helyzetben van )
A wp-config.php fájl áthelyezése
A helyes fájlengedélyekkel és a helyesen konfigurált webszerverrel a wp-config.php fájl ugyanabban a nyilvános mappában marad, mint a blog többi részének. De amikor védjük webhelyét, a biztonság egy hagyma ( vagyis Ogre látszólag); minél több réteg van, annál többet kapsz.
A WordPress Codex megerősíti ezt a hangulatot, és javasolja, hogy a wp-config.php-t távolítsa el az alapértelmezett telepítési helyéről. A WordPress.org öngondoskodó blogjai lehetővé teszik, hogy a wp-config.php-t egy szinttel feljebb tolja a blog gyökeréről. Ez minden jó és jó, de a legtöbb webszerver esetében a bloggyökér egy szintje még mindig nyilvános_html mappa. A legjobb, ha olyan mappába helyezi, amely nem az Ön public_html vagy WWW mappájának alkönyvtára. Így a böngészőn vagy bármely más HTTP-alkalmazáson keresztül érkező valaki esélye gyakorlatilag nulla.
Íme, amit csinálsz:
1. lépés
Nyissa meg a WordPress.org webhelyet egy FTP programon keresztül, és navigáljon a gyökérbe.
2. lépés
Töltse le a wp-config.php fájlt a merevlemezére.
3. lépés
Nevezd át valami másra, mint a wp-config.php.
Tedd valami értelmetlen dolgot, így valaki, aki megbotlik rajta ( talán az SSH-n keresztül megosztott szerverét feltörő valaki) nem ismeri fel, hogy mi az. Tehát a " off-site-wordpress-config.php" helyett a " futurama-fan-fic.php " nevezik .
4. lépés
Töltse fel az átnevezett wp-config.php fájlt a public_html vagy a www mappához tartozó mappába. Személy szerint létrehoztam egy teljes könyvtárat az off-site konfigurációs fájlokhoz. De valószínűleg biztonságosabb, ha valahol véletlenszerűbbé teszik őket.
A legfontosabb az, hogy tegye azt a www vagy public_html mappáján.
5. lépés
Nyissuk meg a jegyzettömböt vagy a kedvenc PHP-szerkesztőnket.
Hozzon létre egy új wp-config.php fájlt, amely csak a következő kódot tartalmazza:
include ( '/ home / usr / hobbi / Futurama-fan-fic.php');
?>
Cserélje ki a könyvtárat itt az átnevezett wp-config.php fájl szerver helyével. Ne feledje, hogy ez nem egy URL, hanem elérési útja a kiszolgáló helyéhez. Tehát, így:
include ( 'www.yourdomain.com/location/futurama-fan-fic.php');
nem fog működni.
Amint azt valószínűleg összegyűjtöttük, ez a lényeg, hogy hozzon létre egy " parancsikont " az aktuális wp-config.php fájljához. Szóval, ha valaki feltörti a wp-config.php fájlját a WordPress könyvtárában, akkor minden megtalálja azt a fájlt, amely egy másik fájlra mutat.
A szórakozás érdekében érdemes hozzáfűzni egy megjegyzést, amely így szól:
Köszönöm Mario! De a hercegnõnk egy másik kastélyban van!
6. lépés
Töltsd fel az új wp-config.php fájlt a WordPress gyökérbe. Felülírja a régiet ( először mentette fel, ugye? ).
7. lépés
Ez az! Menjen a WordPress.org blog gyökérbe, hogy megbizonyosodjon arról, hogy működik.
Ha hibát észlel:
Figyelmeztetés : include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: nem sikerült megnyitni a streamet: Nincs ilyen fájl vagy könyvtár a /home/usr/public_html/blog.com/ wp-config.php a 2. vonalon
Halálos hiba : Hívja a wp () függvényt a /wp-blog-header.php címre a 14. sorban
Ez azt jelenti, hogy rosszul írta be a kiszolgáló helyét a módosított wp-config.php fájlban. Ha gondja van a blog abszolút elérési útjának meghatározására, hozzon létre egy .php fájlt a következő kóddal:
Ez megmutatja az abszolút elérési útvonalat a könyvtár bármely könyvtárában, és megvilágítja, hogyan mozoghat a public_html mappa fölött.
Ha hibaüzenetet kap:
Úgy tűnik, nem létezik
wp-config.php
fájl. Erre szükség van, mielőtt elkezdhetjük. További segítségre van szüksége? Megkaptuk. Hozzon létre egywp-config.php
fájlt egy webes felületen keresztül, de ez nem minden szerverbeállításnál működik. A legbiztonságosabb módja a fájl manuális létrehozása.
Ez azt jelenti, hogy nincs wp-config.php fájl a WordPress.org gyökérkönyvtárában. Győződjön meg róla, hogy feltöltötte a módosított wp-config.php fájlt a WordPress.org gyökérére vagy a közvetlenül fölötte lévő mappára és az átnevezett wp-config.php fájlt egy másik helyre, és nem fordítva.
Következtetés
A wp-config.php-t áthelyezi a blogra? Biztosan nem. De ez csak egy lépés a weboldal vagy a blog biztonságosabbá tételéhez. És nekem ez segít nekem jobban aludni éjszaka - csakúgy, mint egy extra lánc vagy deadbolt az ajtón.
Megjegyzés: Mielőtt a fájlstruktúrát átszúrná, győződjön meg róla, hogy visszaállítja a dolgokat, és jól érezze magát, amit csinál. Komolyan megzavarhatja a WordPress blogját, ha törli a rossz dolgot. Figyelmeztetett.