Herd WordPress Security ved å flytte wp-config.php til en ikke-offentlig mappe
Som standard setter wp-config.php i samme mappe som WordPress-bloggen din. Så, hvis hjemmesiden til bloggen din er på mysite.com/blog, så er din wp-config.php. Det er ikke så hensynsløst som det virker siden .php-filer er server-side skript som behandles av serveren. Når du ser på en .php-fil, ser du faktisk på filens utgang. Det samme gjelder for når du ser kilden. Den eneste måten å laste ned den raske koden til en .php-fil, er via FTP.
Men bare fordi du ikke normalt kan få tilgang til en .php-fil, betyr ikke at du alltid er trygg ...
Ulykker skjer, og sårbarheter eksisterer. Hvis webserverens PHP-konfigurasjon brytes ned, er ikke dine MIME-typer konfigurert riktig, eller hvis webserveren ellers er feilkonfigurert, kan websiden din ende opp med å vise ren tekst i stedet for behandlet PHP-utgang; det er bare noen få eksempler. Og akkurat som å være depantsed i løpet av en pep-rally i videregående skole, tar det bare en splittet sekund, og før du kan få dine knickers tilbake på at de har sett alt. Ja, de har sett alt.
I denne groovyPost vil jeg vise deg hvordan du beholder wp-config.php med MySQL-databasen brukernavn og passord trygt (r). Selv om ingen nettside eller blogg er 100% uhackelig, vil dette raske tipset hackere WordPress-bloggen din vanskeligere for å være inntrengere enn et nettsted som ikke har tatt disse forholdsregler. Vanligvis bare å være sikrere enn din nabo er nok til å avskrekke en hackers innsats til et annet nettsted enn ditt eget. Husk at hvis du noen gang er i skogen med en gruppe mennesker, og en bjørn dukker opp, må du ikke løpe raskere enn bjørnen, bare raskere enn de andre. (og alt sjokkerer til side, er Bear mace din beste innsats hvis du noen gang er virkelig i den situasjonen)
Flytter din wp-config.php-fil
Med de riktige filtillatelsene og en riktig konfigurert webserver, bør du holde helt wp-config.php-filen i samme offentlige mappe som resten av bloggen din. Men når det gjelder å beskytte nettstedet ditt, er sikkerhet en løk (eller Ogre tilsynelatende); Jo flere lag, jo mer av det har du.
WordPress Codex bekrefter dette følelsen og anbefaler at du flytter wp-config.php vekk fra standard installasjonssted. WordPress.org selvbehandlede blogger lar deg flytte wp-config.php opp ett nivå fra bloggens rot. Det er alt bra og bra, men for de fleste webservere er ett nivå opp fra blogroten din fortsatt en public_html-mappe. Du er best i å sette den i en mappe som ikke er en underkatalog i public_html eller WWW-mappen. På den måten er sjansene for at noen når det via en nettleser eller et annet HTTP-program nesten null.
Her er hva du gjør:
Trinn 1
Få tilgang til ditt WordPress.org-nettsted via et FTP-program og naviger til roten.
Steg 2
Last ned wp-config.php til harddisken din.
Trinn 3
Gi nytt navn til noe annet enn wp-config.php.
Gjør det noe nonsensisk, så noen som snubler over det (kanskje noen som har hacket inn i den delte serveren din via SSH) kan ikke gjenkjenne det for hva det er. Så, i stedet for å kalle det "off-site-wordpress-config.php” kall det "Futurama-fan-fic.php.”
Trinn 4
Last opp den omdøpte wp-config.php-filen til en mappe over din public_html eller www-mappe. Personlig har jeg opprettet en hel katalog for konfigurasjonsfiler på stedet. Men det er sannsynligvis tryggere å sette dem et sted mer tilfeldig.
Det viktigste er å si det utenfor av din www eller public_html-mappen.
Trinn 5
Åpne opp notisblokken eller din andre favoritt PHP-editor.
Opprett en ny wp-config.php-fil som bare inneholder følgende kode:
inkluderer ( '/ home / usr / hobbyer / Futurama-fan-fic.php');
?>
Erstatt katalogen her med serverplasseringen til den omdøpte wp-config.php-filen. Vær oppmerksom på at dette ikke er en nettadresse, det er en sti i forhold til serverplasseringen din. Så, gjør det:
omfatte ( 'www.yourdomain.com/location/futurama-fan-fic.php');
vil ikke fungere.
Som du sikkert har samlet, hva dette vil gjøre, er i hovedsak å skape en "snarvei"Til din faktiske wp-config.php-fil. Så hvis noen hakker din wp-config.php-fil i WordPress-katalogen, er alt de finner, en fil som peker på en annen fil.
For moro skyld kan du legge til en kommentar som lyder:
// Takk Mario! Men vår prinsesse er i et annet slott!
Trinn 6
Last opp den nye wp-config.php-filen til WordPress-roten din. Overskrive den gamle (du sikkerhetskopierte det først, riktig?).
Trinn 7
Det er det! Naviger til WordPress.org bloggroten din for å sikre at den virket.
Hvis du får en feil som lyder:
Advarsel: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: Kunne ikke åpne strøm: Ingen slik fil eller katalog i/home/usr/public_html/blog.com/wp-config.php på nett 2
Fatal feil: Ring til udefinert funksjon wp () i /wp-blog-header.php på nett 14
Da betyr det at du skrev inn på serverplasseringen feil i din endrede wp-config.php-fil. Hvis du har problemer med å bestemme den absolutte banen til bloggen din, opprett en .php-fil med følgende kode i den:
Dette vil vise deg den absolutte banen for hvilken katalog som filen er i, og vil også belyse hvordan du beveger deg over mappen public_html.
Hvis du får en feilmelding som leser:
Det ser ikke ut til å være a
wp-config.php
fil. Jeg trenger dette før vi kan komme i gang. Trenger du mer hjelp? Vi har det. Du kan opprette enwp-config.php
fil gjennom et webgrensesnitt, men dette virker ikke for alle serveroppsett. Den sikreste måten er å manuelt opprette filen.
Da betyr det at det ikke er noen wp-config.php-fil i WordPress.org-rotasjonen din. Dobbeltklikk at du lastet opp den modifiserte wp-config.php til WordPress.org-roten eller mappen rett over den, og den omdøpte wp-config.php-filen til et annet sted, i stedet for omvendt.
Konklusjon
Vil du flytte wp-config.php gjør bloggen din kollettfri? Absolutt ikke. Men det er bare ett av trinnene du kan ta for å gjøre nettstedet ditt eller bloggen mer sikker. Og for meg hjelper det meg å sove bedre om natten - akkurat som å sette en ekstra kjede eller dødbolt på døren.
Merk: Før du drar rundt filstrukturen, må du sørge for at du får ting på plass og føler deg komfortabel med det du gjør. Du kan ødelegge WordPress-bloggen din hvis du sletter feil ting. Du har blitt advart.