Hærde WordPress Security ved at flytte wp-config.php til en ikke-offentlig mappe
Hvis du ikke har været bekendt endnu, lad mig introducere dig til din wp-config.php- fil. Hvis du kører en selvbetjent WordPress.org-blog, indeholder din wp-config.php dit MySQL-databasens brugernavn, din MySQL-databaseadgangskode, dine WordPress-godkendelsesnøgler og andre følsomme oplysninger. Med denne information får en hacker eller script-kiddie adgang til alt indhold på din WordPress-blog, hvilket giver dem fri adgang til at slette dine indlæg, indsætte ondsindet kode, backlink til ulovlige pornosider eller hvad de ellers vil have.
Som standard sidder wp-config.php i samme mappe som din WordPress-blog. Så hvis hjemmesiden til din blog er på mysite.com/blog, så er din wp-config.php. Det er ikke så hensynsløst, som det ser ud siden. Php-filer er server-side scripts, der behandles af serveren. Når du kigger på en .php-fil, ser du faktisk udgangen af filen. Det samme gælder for, når du ser kilden. Den eneste måde at downloade den rå kode på en .php-fil er via FTP.
Men bare fordi du normalt ikke kan få adgang til en .php-fil betyder det ikke, at du altid er sikker ...
Der sker ulykker, og der findes sårbarheder. Hvis din webserverens PHP-konfiguration brydes ned, er dine MIME-typer ikke konfigureret korrekt, eller hvis din webserver ellers ikke konfigureres, kan din webside ende med at vise almindelig tekst i stedet for behandlet PHP-output; det er blot nogle få eksempler. Og ligesom at være depantsed under en pep rally i gymnasiet auditorium, det tager kun et split-sekund, og før du kan få dine knickers tilbage på de har set alt. Ja, de har set det hele.
I denne vil jeg vise dig, hvordan du holder din wp-config.php med dine MySQL-database brugernavne og adgangskoder sikkert (r). Selvom ingen hjemmeside eller blog er 100% uhørbar, vil dette hurtige tip gøre hacking af din WordPress-blog vanskeligere for at være ubudne end et websted, der ikke har taget disse forholdsregler. Normalt er det bare at være mere sikker end din nabo nok til at afskrække en ville hacker indsats på et andet websted end din egen. Husk, hvis du nogensinde er i skoven med en gruppe mennesker, og en bjørn viser sig - du behøver ikke at løbe hurtigere end bjørnen, bare hurtigere end de andre mennesker. ( og alt sjov til side, er Bear mace din bedste chance hvis du nogensinde er virkelig i den situation )
Flytter din wp-config.php fil
Med de korrekte filtilladelser og en korrekt konfigureret webserver skal det være helt fint at holde din wp-config.php-fil i samme offentlige mappe som resten af din blog. Men når det kommer til at beskytte dit websted, er sikkerhed en løg ( eller Ogre tilsyneladende); Jo flere lag, jo mere af det har du.
WordPress Codex bekræfter dette udsagn og anbefaler, at du flytter din wp-config.php væk fra sin standardinstallationsplacering. WordPress.org self-hosted blogs giver dig mulighed for at flytte din wp-config.php op et niveau fra din blogs rod. Det er alt godt og godt, men for de fleste webservere er et niveau op fra din blog-rod stadig en public_html-mappe. Det er bedst at placere det i en mappe, der ikke er en underkatalog i din public_html eller WWW-mappe. På den måde er chancerne for at nogen når det via en webbrowser eller en anden HTTP-applikation næsten nul.
Her er hvad du gør:
Trin 1
Få adgang til dit WordPress.org-websted via et FTP-program og navigere til roden.
Trin 2
Download wp-config.php til din harddisk.
Trin 3
Omdøb det til noget andet end wp-config.php.
Gør det noget uanstændigt, så en person, der snuble over det ( måske en person, der har hacket ind på din delte server via SSH), kan ikke genkende det for hvad det er. Så, i stedet for at kalde det " off-site-wordpress-config.php" kalder det " futurama-fan-fic.php ."
Trin 4
Upload din omdøbte wp-config.php-fil til en mappe over din public_html eller www-mappe. Personligt oprettede jeg en hel mappe til off-site config filer. Men det er sikkert sikrere at sætte dem et sted mere tilfældigt.
Det vigtigste er at sætte det uden for din www eller public_html-mappe.
Trin 5
Åbn notepad eller din anden foretrukne PHP-editor.
Opret en ny wp-config.php-fil, der kun indeholder følgende kode:
omfatter ( '/ home / usr / hobbyer / Futurama-fan-fic.php');
?>
Udskift biblioteket her med serverens placering af din omdøbte wp-config.php-fil. Bemærk, at dette ikke er en webadresse, det er en sti i forhold til din serverplacering. Så gør det:
indbefatter ( 'www.yourdomain.com/location/futurama-fan-fic.php');
vil ikke virke.
Som du sikkert har samlet, hvad dette vil gøre er i det væsentlige at skabe en " genvej " til din faktiske wp-config.php-fil. Så hvis nogen hakker din wp-config.php-fil i din WordPress-mappe, er alt, hvad de finder, en fil, der peger på en anden fil.
For sjov kan du tilføje en kommentar, der lyder:
// Tak Mario! Men vores prinsesse er i et andet slot!
Trin 6
Upload din nye wp-config.php-fil til din WordPress-rod. Overskriv den gamle ( du sikkerhedskopierede den først, ikke? ).
Trin 7
Det er det! Naviger til din WordPress.org blog rod for at sikre, at det fungerede.
Hvis du får en fejl, der lyder:
Advarsel : inkludere (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: Kunne ikke åbne stream: Ingen sådan fil eller mappe i /home/usr/public_html/blog.com/ wp-config.php på linje 2
Fatal fejl : Ring til udefineret funktion wp () i /wp-blog-header.php på linje 14
Så betyder det, at du har indtastet serverens placering forkert i din modificerede wp-config.php-fil. Hvis du har problemer med at bestemme den absolutte sti i din blog, skal du oprette en .php-fil med følgende kode i den:
Dette vil vise dig den absolutte sti for den mappe, filen er i, og vil også belyse, hvordan du flytter over mappen public_html.
Hvis du får en fejlmeddelelse, der lyder:
Der ser ikke ud til at være en
wp-config.php
fil. Jeg har brug for dette, før vi kan komme i gang. Har du brug for mere hjælp? Vi har det. Du kan oprette enwp-config.php
fil via en web-grænseflade, men det virker ikke for alle serveropsætninger. Den sikreste måde er at manuelt oprette filen.
Så betyder det, at der ikke er nogen wp-config.php-fil i din WordPress.org-rod. Dobbeltklik på, at du uploadede den ændrede wp-config.php til din WordPress.org-rod eller mappen lige over den og den omdøbte wp-config.php-fil til et andet sted, snarere end omvendt.
Konklusion
Vil du flytte din wp-config.php gøre din blog skudtæt? Bestemt ikke. Men det er bare et af de skridt, du kan tage for at gøre din hjemmeside eller blog mere sikker. Og for mig hjælper det mig med at sove bedre om natten - ligesom at lægge en ekstra kæde eller deadbolt på døren.
Bemærk! Før du går rundt i din filstruktur, skal du sørge for at tage tingene op og føle dig godt tilpas med det du laver. Du kan alvorligt forstyrre din WordPress blog, hvis du sletter den forkerte ting. Du er blevet advaret.