Harden WordPress Security Poprzez przeniesienie wp-config.php do niepublicznego folderu
Jeśli nie byłeś jeszcze zaznajomiony, pozwól, że przedstawię ci Twój plik wp-config.php . Jeśli uruchamiasz własny blog WordPress.org, Twój wp-config.php zawiera nazwę użytkownika bazy danych MySQL, twoje hasło do bazy danych MySQL, klucze uwierzytelniające WordPress i inne poufne informacje. Dzięki tym informacjom haker lub skrypciarz ma dostęp do wszystkich treści na swoim blogu WordPress, dając im wolną rękę do usuwania swoich postów, wstawiania złośliwego kodu, linku zwrotnego do nielegalnych stron pornograficznych lub czegokolwiek, czego pragną.
Domyślnie wp-config.php znajduje się w tym samym folderze co twój blog WordPress. Tak więc, jeśli strona główna twojego bloga znajduje się na stronie mysite.com/blog, tak samo jest z wp-config.php. To nie jest tak lekkomyślne, jak się wydaje, ponieważ pliki .php to skrypty po stronie serwera, które są przetwarzane przez serwer. Kiedy patrzysz na plik .php, faktycznie patrzysz na wynik pliku. To samo dotyczy widoku źródła. Jedynym sposobem na pobranie surowego kodu pliku .php jest FTP.
Ale to, że nie możesz normalnie uzyskać dostępu do pliku .php, nie oznacza, że zawsze jesteś bezpieczny ...
Wypadki się zdarzają i istnieją luki w zabezpieczeniach. Jeśli konfiguracja PHP twojego serwera sieciowego się zepsuje, twoje typy MIME nie będą poprawnie skonfigurowane lub twój serwer internetowy zostanie źle skonfigurowany, twoja strona internetowa może skończyć się serwowaniem zwykłego tekstu zamiast przetworzonego wyjścia PHP; to tylko kilka przykładów. I, podobnie jak depantyzacja podczas wiecu muzycznego w audytorium w liceum, trwa to tylko ułamek sekundy i zanim znów zdobędziesz majtki, widzą wszystko. Tak, widzieli to wszystko.
W tym pokażę ci, jak zachować swój wp-config.php z bezpiecznymi nazwami i hasłami bazy danych MySQL (r). Podczas gdy żadna strona internetowa lub blog nie jest w 100% nienaruszalny, ta szybka wskazówka może utrudnić hakowanie twojego blogu WordPress potencjalnym intruzom niż strona, która nie podjęła tych środków ostrożności. Zwykle bycie bezpieczniejszym od sąsiada wystarczy, aby odstraszyć niedoszłe wysiłki hakerów na stronę inną niż twoja. Pamiętaj, jeśli jesteś w lesie z grupą ludzi i pojawia się niedźwiedź - nie musisz biegać szybciej niż niedźwiedź, tylko szybciej niż inni ludzie. ( i wszystkie żarty na bok, Bear mace to twoja najlepsza opcja, jeśli kiedykolwiek naprawdę będziesz w takiej sytuacji )
Przenoszenie pliku wp-config.php
Przy prawidłowych uprawnieniach do plików i poprawnie skonfigurowanym serwerze internetowym utrzymanie pliku wp-config.php w tym samym folderze publicznym, co reszta bloga, powinno być całkowicie poprawne. Ale jeśli chodzi o ochronę twojej strony, bezpieczeństwo to cebula ( najwyraźniej Ogre); im więcej warstw, tym więcej masz.
Kodeks WordPress potwierdza tę opinię i zaleca przeniesienie pliku wp-config.php z domyślnej lokalizacji instalacji. Samoponujące blogi WordPress.org pozwalają przenieść Twój wp-config.php o jeden poziom z katalogu głównego bloga. Wszystko dobrze i dobrze, ale dla większości serwerów internetowych jeden poziom wyższy od twojego bloga to nadal folder public_html. Najlepiej umieścić go w folderze, który nie jest podkatalogiem twojego folderu public_html lub WWW. W ten sposób szanse, że ktoś dociera do niego za pośrednictwem przeglądarki internetowej lub jakiejkolwiek innej aplikacji HTTP, są praktycznie zerowe.
Oto co robisz:
Krok 1
Wejdź na stronę WordPress.org za pomocą programu FTP i przejdź do katalogu głównego.
Krok 2
Pobierz plik wp-config.php na dysk twardy.
Krok 3
Zmień nazwę na coś innego niż wp-config.php.
Uczyń to czymś nonsensownym, więc ktoś, kto się na to natknął ( być może ktoś, kto włamał się do twojego wspólnego serwera przez SSH) może go nie rozpoznać. Zamiast więc nazywać ją " poza witryną-wordpress-config.php", nazwij ją " futurama-fan-fic.php ".
Krok 4
Prześlij swój przemianowany plik wp-config.php do folderu nad folderem public_html lub www. Osobiście stworzyłem cały katalog plików konfiguracyjnych poza siedzibą. Ale prawdopodobnie bezpieczniej jest umieścić je gdzieś bardziej losowo.
Najważniejsze jest, aby umieścić go poza folderem www lub public_html.
Krok 5
Otwórz notatnik lub inny ulubiony edytor PHP.
Utwórz nowy plik wp-config.php zawierający tylko następujący kod:
include ('/ home / usr / hobbies / futurama-fan-fic.php');
?>
Zastąp katalog tutaj lokalizacją serwera pliku o zmienionej nazwie wp-config.php. Zauważ, że to nie jest URL, to ścieżka do twojej lokalizacji serwera. Tak więc, czyniąc to:
include ("www.twojadomena.com/lokalizacja/futurama-fan-fic.php");
nie będzie działać.
Jak już zapewne wiesz, to, co to zrobi, jest zasadniczo stworzeniem " skrótu " do twojego aktualnego pliku wp-config.php. Tak więc, jeśli ktoś zhakuje twój plik wp-config.php w twoim katalogu WordPress, wszystko, co znajdą to plik wskazujący na inny plik.
Dla zabawy możesz dodać komentarz, który brzmi:
// Dziękuję Mario! Ale nasza księżniczka jest w innym zamku!
Krok 6
Prześlij swój nowy plik wp-config.php do swojego rootu WordPress. Zastąpić starą ( najpierw ją zarchiwizowałeś, prawda? ).
Krok 7
To jest to! Przejdź do swojego bloga głównego WordPress.org, aby upewnić się, że działa.
Jeśli pojawi się błąd, który brzmi:
Ostrzeżenie : include (/www.twojadomena.com/location/futurama-fan-fic.php ') [function.include]: nie można otworzyć strumienia: Brak takiego pliku lub katalogu w /home/usr/public_html/blog.com/ wp-config.php w linii 2
Błąd krytyczny : wywołanie niezdefiniowanej funkcji wp () w /wp-blog-header.php w linii 14
Oznacza to, że wpisałeś nieprawidłową lokalizację serwera w zmodyfikowanym pliku wp-config.php. Jeśli masz problem z określeniem bezwzględnej ścieżki bloga, utwórz plik .php z następującym kodem:
Spowoduje to wyświetlenie bezwzględnej ścieżki do dowolnego katalogu, w którym znajduje się plik, a także o tym, jak przenieść się ponad folder public_html.
Jeśli pojawi się komunikat o błędzie, który brzmi:
Wygląda na to, że nie ma pliku
wp-config.php
. Potrzebuję tego, zanim będziemy mogli zacząć. Potrzebujesz więcej pomocy? Mamy to. Możesz utworzyć plikwp-config.php
za pośrednictwem interfejsu sieciowego, ale to nie działa we wszystkich konfiguracjach serwera. Najbezpieczniejszym sposobem jest ręczne utworzenie pliku.
Oznacza to, że nie ma pliku wp-config.php w głównym katalogu WordPress.org. Sprawdź ponownie, czy przesłałeś zmodyfikowany plik wp-config.php do katalogu głównego WordPress.org lub folderu tuż nad nim, a także do pliku o zmienionej nazwie wp-config.php w innej lokalizacji, a nie odwrotnie.
Wniosek
Czy przeniesienie twojego wp-config.php spowoduje, że twój blog będzie kuloodporny? Zdecydowanie nie. Ale to tylko jeden z kroków, które możesz podjąć, aby Twoja strona lub blog był bezpieczniejszy. A dla mnie pomaga mi lepiej spać w nocy - tak jak wkładanie dodatkowego łańcucha lub ryglowania w drzwi.
Uwaga: Zanim przejdziesz do swojej struktury plików, upewnij się, że tworzysz kopię zapasową i czujesz się komfortowo z tym, co robisz. Możesz poważnie zepsuć swój blog WordPress, jeśli usuniesz coś niewłaściwego. Zostałeś ostrzeżony.