ฉันยังไม่รู้จัก Wordpress มากมายและฉันแค่สงสัยว่า:
ก่อนการติดตั้งคุณต้องกรอกข้อมูลให้ถูกต้องwp-config-sample.phpแต่จะต้องมีรหัสผ่านฐานข้อมูลด้วย มันไม่อันตรายเหรอ? ฉันหมายความว่ามีใครบางคนสามารถอธิบายได้ว่าสิ่งนี้ได้รับการปกป้องจากการอ่านไฟล์และรับรหัสผ่านของฐานข้อมูลของคุณหรือไม่
คำตอบ:
"การแข็งตัว WordPress" หน้าของ Codex มีส่วนใน"การรักษาความปลอดภัย WP-config.php" ซึ่งรวมถึงการเปลี่ยนการอนุญาตเป็น 440 หรือ 400 คุณยังสามารถย้ายไฟล์ wp-config หนึ่งไดเรกทอรีขึ้นมาจากรูทหากการกำหนดค่าเซิร์ฟเวอร์ของคุณอนุญาต
แน่นอนว่าอาจมีอันตรายจากการมีไฟล์ด้วยรหัสผ่านเช่นนี้หากมีคนเข้าถึงเซิร์ฟเวอร์ของคุณ แต่จริงๆแล้ว ณ จุดนั้นพวกเขาอยู่ในเซิร์ฟเวอร์ของคุณแล้ว
สุดท้ายคุณไม่มีทางเลือกมากนัก ฉันไม่เคยเห็นวิธีอื่นในการกำหนดค่า WordPress คุณสามารถล็อคมันได้มากที่สุดเท่าที่จะทำได้ แต่นี่คือสิ่งที่ WordPress สร้างขึ้นและถ้าหากมันเป็นภัยคุกคามด้านความปลอดภัยที่ร้ายแรงพวกเขาจะไม่ทำแบบนั้น
เพื่อทำให้กรณีสำหรับการรักษาไฟล์กำหนดค่าของคุณขึ้นหนึ่งระดับจากเว็บรูท (ตามที่แนะนำ mrwweb): ไม่กี่เดือนที่ผ่านมาการอัปเดตอัตโนมัติบนเซิร์ฟเวอร์ที่ใช้งานจริงของ php ของเราถูกฆ่าตาย เพื่อให้ทุกคนที่มาในหน้าแรกที่ถูกนำเสนอเป็น index.php ดาวน์โหลด ในทางทฤษฎีใครก็ตามที่รู้ว่ามันเป็นเว็บไซต์ WordPress สามารถร้องขอ wp-config.php และได้มันมา (ถ้าอยู่ในรูทของเว็บ) แน่นอนว่าพวกเขาจะสามารถใช้ข้อมูลรับรองฐานข้อมูลเหล่านั้นได้เฉพาะเมื่อเราอนุญาตการเชื่อมต่อ MySQL ระยะไกล - แต่ก็ยังไม่เจ๋ง ฉันรู้ว่านี่เป็นกรณีพิเศษ แต่มันง่ายมากที่จะทำให้การกำหนดค่าของคุณออกไปจากสายตาทำไมไม่ทำอย่างนั้น?
ถ้าไม่มีใครสามารถเข้าถึงผ่าน FTP คุณไม่จำเป็นต้องกังวลเกี่ยวกับเรื่องนี้ PHP ถูกเรนเดอร์บนเซิร์ฟเวอร์ก่อนที่จะเข้าสู่เบราว์เซอร์ของผู้ใช้
นี่คือเคล็ดลับอื่น: ป้องกัน wp-config.php (และไฟล์ที่ละเอียดอ่อนอื่น ๆ ) ด้วย. htaccess
เพิ่มสิ่งต่อไปนี้ลงในไฟล์. htaccess ในไดเรกทอรีของไซต์ของคุณซึ่งมีไฟล์ WordPress อื่น ๆ ตั้งอยู่ทั้งหมด:
<Files wp-config.php>
order allow,deny
deny from all
</Files>หากใครบางคนมีสิทธิ์เข้าถึงเพื่ออ่านเนื้อหาของไฟล์ Php ของคุณแสดงว่าคุณถูกแฮ็คแล้ว