คำถามติดแท็ก wp-config

หนึ่งในการรักษาความปลอดภัยที่พบมากที่สุดปฏิบัติที่ดีที่สุดวันนี้ดูเหมือนว่าจะมีการเคลื่อนย้ายwp-config.phpไดเรกทอรีหนึ่งสูงกว่ารากเอกสาร vhost ของ ฉันไม่เคยพบคำอธิบายที่ดี แต่ฉันคิดว่ามันจะลดความเสี่ยงของสคริปต์ที่เป็นอันตรายหรือติดไวรัสภายใน webroot ไม่ให้อ่านรหัสผ่านฐานข้อมูล แต่คุณยังต้องให้ WordPress เข้าถึงได้ดังนั้นคุณต้องขยายopen_basedirเพื่อรวมไดเรกทอรีด้านบนรูทเอกสาร ไม่เพียง แต่เอาชนะวัตถุประสงค์ทั้งหมดและยังอาจเปิดเผยบันทึกเซิร์ฟเวอร์ข้อมูลสำรองและอื่น ๆ แก่ผู้โจมตีด้วย หรือเป็นเทคนิคที่พยายามป้องกันสถานการณ์ที่wp-config.phpจะแสดงเป็นข้อความธรรมดาสำหรับทุกคนที่ร้องขอhttp://example.com/wp-config.phpแทนที่จะถูกแยกวิเคราะห์โดยโปรแกรม PHP? ดูเหมือนว่าจะเกิดขึ้นได้ยากมากและจะไม่เกินความเสียเปรียบของการเปิดเผยบันทึก / การสำรองข้อมูล / ฯลฯ ไปยังคำขอ HTTP อาจเป็นไปได้ไหมที่จะย้ายออกนอกรูทเอกสารในการตั้งค่าโฮสติ้งบางแบบโดยไม่ต้องเปิดเผยไฟล์อื่น แต่ไม่ใช่ในการตั้งค่าอื่น สรุป: หลังจากมีการพูดคุยซ้ำ ๆ กันในเรื่องนี้สองคำตอบก็ปรากฏว่าฉันคิดว่าควรได้รับการพิจารณาว่าเป็นเรื่องจริง อาโรนอดัมส์ทำให้เป็นกรณีที่ดีในความโปรดปรานของการย้าย WP-config และ chrisguitarguymakes ดีกรณีกับมัน นี่คือคำตอบสองข้อที่คุณควรอ่านหากคุณยังใหม่ต่อเธรดและไม่ต้องการอ่านสิ่งทั้งหมด คำตอบอื่น ๆ อาจจะซ้ำซ้อนหรือไม่ถูกต้อง

135 security  customization  wp-config 

ฉันเพิ่งมีปัญหาที่ฉันไม่สามารถติดตั้งปลั๊กอิน WP Smush Pro ได้เนื่องจากฉันไม่มีตัวเลือกการติดตั้งด้วยตนเองหรือการติดตั้งด้วยคลิกเดียว ผมมาในโพสต์นี้wp-config.phpซึ่งแนะนำให้ปรับเปลี่ยนการตั้งค่าใน ฉันได้เพิ่มการตั้งค่าที่แนะนำ แต่สิ่งที่สำคัญที่สุดคือ: define('FS_METHOD', 'direct'); สิ่งที่ผมอยากจะรู้ว่าสิ่งที่เป็นกังวลจริงผมควรจะมีรอบการตั้งค่าFS_METHODเพื่อdirect? มีทางเลือกอื่นในการติดตั้งปลั๊กอินหรือไม่ นี่คือสิ่งที่เอกสารทางการได้กล่าว: FS_METHOD บังคับให้วิธีการระบบแฟ้ม ควรเป็น "โดยตรง", "ssh2", "ftpext" หรือ "ftpsockets" โดยทั่วไปคุณควรเปลี่ยนแปลงสิ่งนี้หากคุณประสบปัญหาการอัพเดท หากคุณเปลี่ยนและไม่ช่วยให้เปลี่ยนกลับ / ลบ ภายใต้สถานการณ์ส่วนใหญ่การตั้งค่าเป็น 'ftpsockets' จะทำงานหากวิธีที่เลือกโดยอัตโนมัติไม่ทำงาน (การตั้งค่าหลัก) บังคับโดยตรงให้ใช้คำร้องขอ Direct File I / O จากภายใน PHP ซึ่งเต็มไปด้วยการเปิดปัญหาด้านความปลอดภัยบนโฮสต์ที่กำหนดค่าไม่ดีซึ่งจะถูกเลือกโดยอัตโนมัติเมื่อเหมาะสม

36 plugins  security  wp-config  ftp 

มีวิธีปฏิบัติที่ดีที่สุดในการรวมwp-config.phpไฟล์ของคุณในที่เก็บการควบคุมเวอร์ชันหรือไม่? ฉันกำลังพิจารณาที่จะสร้างไซต์ใหม่ด้วยการกำหนดค่าประเภทนี้ (คล้ายกับAlex KingและMark Jaquith ): /index.php /local-config.php /wp-config.php /wp/ (core) /wp-content/ (plugins, themes, etc.) ฉันจะทำสิ่งนี้ได้อย่างไรโดยไม่เปิดเผยรหัสผ่านให้คอมไพล์ในกรณีที่ที่เก็บนี้กลายเป็นที่สาธารณะ โดยเฉพาะอย่างยิ่งในโพสต์ของ Mark ดูเหมือนว่า local-config.php สามารถเก็บรายละเอียดฐานข้อมูลท้องถิ่นและรหัสผ่านได้ แต่คนที่ใช้งานจริงจะอยู่ใน wp-config.php นี่เป็นปัญหามากเกินไปหรือไม่และฉันควรปล่อยให้ wp-config.php ไม่มีการยกเลิกหรือไม่

35 wp-config  version-control 

ฉันกำลังพัฒนาเว็บไซต์บนเซิร์ฟเวอร์ที่ลูกค้าสามารถเข้าถึงได้เช่นกันและสิ่งที่ฉันต้องการจะทำคือแสดงWP_DEBUGให้ผู้ดูแลระบบเท่านั้น การอ้างอิงบทความของ Yoastเกี่ยวกับเรื่องนี้: if ( isset($_GET['debug']) && $_GET['debug'] == 'true') define('WP_DEBUG', true); จะแสดงWP_DEBUGเฉพาะ URL ที่?debug=trueแนบมาเท่านั้นhttp://domain.com/?debug=true ฉันคิดว่าDebug Barอาจเก็บข้อมูลนี้ไว้เป็นค่าเริ่มต้น (ไม่ว่าWP_DEBUGจะเปิดหรือไม่ก็ตาม) แต่ฉันคิดว่าบ้าคลั่งเพราะฉันไม่เชื่อว่าเป็นเช่นนั้น ดังนั้นสิ่งที่ฉันคิดว่าจะมีประโยชน์จะเป็นการตรวจสอบผู้ใช้ปัจจุบัน (มีmanage_optionsความสามารถแล้วเรียกใช้ลิงก์ผ่านadd_query_arg(): function zs_admin_debug() { if (!current_user_can('manage_options')) { add_query_arg('debug','true'); } } แต่สิ่งที่ฉันไม่แน่ใจเกี่ยวกับคือ - มีเบ็ดฉันสามารถใช้เพื่อผลลิงค์ทั้งหมดในเว็บไซต์ด้วยนี้ ด้วยวิธีนี้ผู้ดูแลระบบจะเห็นการดีบักซึ่งฉันคิดว่าจะมีประโยชน์อย่างยิ่ง ขอบคุณสำหรับความช่วยเหลือใด ๆ เช่นเคย!

20 debug  wp-config  wp-debug 

ประการแรกฉันได้อ่านบทความ จำนวนมากเกี่ยวกับกระบวนการนี้ อย่างไรก็ตามด้วยเหตุผลต่าง ๆ กระบวนการยังคงใช้งานได้ยากหรือแก้ไขปัญหาเนื่องจากไม่มีตัวอย่างที่เป็นนามธรรมหรืออาจเป็นนามธรรมเกินไป และมีโพสต์ "ไม่สามารถทำ" ได้ไม่กี่โพสต์เกือบจะตามมาด้วย "กับ 3.5 ตอนนี้คุณสามารถ" caveats ดังนั้นไม่ว่าใครจะยังคงคลุมเครือแม้ว่าจะไม่มีข้อสงสัยเล็กน้อย สรุป: วิธีย้าย wordpress multisite (WPMS) จาก root.com ไปยัง root / blogs? สำหรับตัวอย่างนี้เรากำลังย้าย WPMS จาก "root.com" เป็น "root.com/blogs" ฉันเข้าใจว่าฉันต้องอัพเดตพา ธ ในฐานข้อมูลและ wp-config.php อย่างเหมาะสม ดูเหมือนว่าฉันอาจต้องอัปเดต. htaccess ด้วยหรือไม่ ฉันยังตระหนักถึงปัญหาการทำให้เป็นอนุกรมด้วยการค้นหา / แทนที่และการปรับปรุงแบบสอบถาม MySQL ฉันมี WPMS ที่ฉันอัปเดตเป็น 3.5 ฉันพบตารางต่อไปนี้พร้อมข้อมูลโดเมนและเส้นทาง การกำหนดค่าการทำงานที่มีอยู่ก่อนที่จะย้ายไปยังไดเรกทอรีย่อย 1. wp_blogs …

20 multisite  htaccess  directory  wp-config 

ฉันใช้ WP_DEBUG_LOG ในสภาพแวดล้อมการพัฒนาของฉันและไม่มีปัญหากับ debug.log ที่อยู่ในไดเรกทอรี wp-content บางครั้งฉันเปิด WP_DEBUG ในการผลิตเมื่อฉันต้องการแก้ไขข้อบกพร่องบางอย่างและฉันยังต้องการใช้บันทึก แต่ต้องการเปลี่ยนเส้นทางไปยังสิ่งที่อยู่นอกรูทเว็บของฉัน เป็นไปได้นี้โดยใช้ WP_DEBUG_LOG?

18 debug  wp-config 

ฉันย้ายเนื้อหาจากเซิร์ฟเวอร์ที่ใช้งานจริงไปยังเซิร์ฟเวอร์ dev ของเราเพื่อพยายามซิงค์สภาพแวดล้อมทั้งหมด ฉันใช้ปลั๊กอินการย้าย WP All-In-One ตอนนี้เมื่อฉันเข้าถึง dev.domain.com ฉันถูกส่งต่อไปยังhttp://dev.domain.com/wp-signup.php?new=dev.domain.com ดูเหมือนว่าหนึ่งในค่าฐานข้อมูลจะต้องไม่ถูกต้องและ WordPress กำลังส่งต่อฉันที่นี่เพราะมัน หากฉันปิดใช้งาน Multisite ทุกอย่างดูเหมือนว่าจะทำงานอย่างถูกต้อง นี่คือ. htaccess ของฉัน: <FilesMatch "(\.(bak|config|sql|fla|psd|ini|log|sh|inc|swp|dist)|~)$"> Order allow,deny Deny from all Satisfy All </FilesMatch> <FilesMatch "^(wp-config\.php|readme\.html|license\.txt)"> Order allow,deny Deny from all Satisfy All </FilesMatch> และ wp-config ของฉัน: /** Multisite / Wordpress Network **/ define('MULTISITE', true); define('SUBDOMAIN_INSTALL', …

16 multisite  htaccess  migration  wp-config 

แค่คำถามสั้น ๆ ที่อาจช่วยลดความปลอดภัยได้ ฉันสังเกตเห็นว่าไฟล์ readme.html มีหมายเลขเวอร์ชันไว้ มันจะปรากฏขึ้นอีกครั้งหลังจากการอัปเกรดแต่ละครั้งและให้ทำ licence.txt และ wp-config-sample.php มีวิธีง่าย ๆ ที่จะให้ WordPress ลบไฟล์เหล่านี้โดยอัตโนมัติหลังจากการอัพเกรดหรือไม่? ฉันบล็อกหมายเลขเวอร์ชันไม่ให้แสดงในเมตาแท็กฟีด RSS ฟีดอะตอม ฯลฯ ฉันรู้ว่าประเภทของการรักษาความปลอดภัยนี้ไม่ว่าที่เป็นประโยชน์มาก แต่ก็คิดว่ามันอาจจะเป็นจุดเริ่มต้นเล็ก ๆ ฉันได้ยินมาว่าผู้คนสามารถตรวจสอบรุ่นของ jQuery ที่รวมอยู่ใน WP-include และการอ้างอิงโยงซึ่ง WP รุ่นใดที่ส่งมา

13 security  wp-config 

ฉันมีเว็บไซต์ WordPress ที่ฉันเพิ่งค้นพบว่ามีข้อผิดพลาดนี้ในหน้าเข้าสู่ระบบ: ข้อผิดพลาด: คุกกี้ถูกบล็อกเนื่องจากการส่งออกที่ไม่คาดคิด สำหรับความช่วยเหลือโปรดดูเอกสารนี้หรือลองฟอรัมสนับสนุน ฉันสามารถเข้าถึงหน้าเข้าสู่ระบบได้wp-login.phpเท่านั้นเนื่องจาก/wp-admin/จะแสดงหน้าขาวที่ว่างเปล่า ฉันค้นหาเว็บและลองหลายสิ่งโดยไม่ประสบความสำเร็จ: การถอด?>และช่องว่างที่ส่วนท้ายของfunctions.php ตรวจสอบให้แน่ใจทั้งสองfunctions.phpและwp-config.phpไม่มีช่องว่างที่จุดเริ่มต้นหรือจุดสิ้นสุดไฟล์ การเปิดwp-config.phpและfunctions.phpใน Notepad ++ และการแปลงเป็น UTF-8 (ผู้คนแนะนำว่า 'ไม่มี BOM' แต่นั่นเป็นเพียงตัวเลือกใน Notepad ++ รุ่นใหม่ล่าสุด - ฉันเดาว่า UTF-8 ทำได้แล้ว) ฉันตั้งค่าWP_DEBUGเป็นจริงและไม่ได้รับข้อผิดพลาดdebug.logยกเว้น 2 ที่เกี่ยวข้องเมื่อฉันไม่ได้อัปโหลดไฟล์บางไฟล์ ข้อผิดพลาดnav-menu.phpนั้นได้กล่าวถึง; สิ่งนี้ยืนยันว่าเป็นการรายงานข้อผิดพลาด แต่ไม่เกี่ยวข้องกับปัญหาการเข้าสู่ระบบของฉัน ฉันเปลี่ยนชื่อโฟลเดอร์ปลั๊กอินแต่ละอัน_tmpในตอนท้ายเพื่อลองและแยกแยะปลั๊กอินใด ๆ ที่ทำให้เกิดปัญหา ฉันยังเปลี่ยนชื่อโฟลเดอร์ปลั๊กอินเพื่อแยกแยะปลั๊กอินทั้งหมดในเวลาเดียวกัน เมื่อได้รับสิ่งเหล่านี้ฉันได้ลองแล้วและฉันไม่ได้รับข้อผิดพลาด PHP ฉันควรลองทำอะไรอีก

13 login  wp-config  cookies 

ฉันพยายามที่จะรักษาความปลอดภัยบล็อก WordPress ของฉัน ผมอ่านโพสต์ในเว็บบางที่ฉันควรเปลี่ยนของฉันและซ่อนของฉันtable_prefix wp-config.phpอย่างไรก็ตามฉันไม่ได้รับมัน? ผู้โจมตีสามารถทำอะไรกับฉันได้wp-config.phpบ้าง ฉันหมายถึงมีการกำหนดค่า db ของฉัน แต่ผู้โจมตีต้องการDB_HOSTตัวอย่างของฉันซึ่งไม่ง่ายที่จะได้รับเพื่อเชื่อมต่อกับฐานข้อมูลของฉันได้อย่างไร (ในกรณีของฉันมัน: define('DB_HOST', 'localhost');ซึ่งผู้โจมตีไม่สามารถใช้เพื่อเชื่อมต่อกับฐานข้อมูลของฉัน ) หรือฉันจะหายไปฏ? ฉันขอขอบคุณคำตอบของคุณ!

11 plugins  security  wp-config 

ฉันใช้ mac os x 10.6 กับ xampp http://wp3.1/ เป็น URL ที่ฉันติดตั้ง WordPress เส้นทางทางกายภาพคือ /Users/myUserName/Sites/wp3.1/ ฉันไม่ได้ติดตั้งปลั๊กอินหรือธีมด้วยวิธี "ธรรมชาติ" ผมได้สร้างไดเรกทอรีชื่อ "คอมไพล์" /Users/myUserName/git/ซึ่งตั้งอยู่ใน นี่คือที่เก็บของคอมไพล์ของฉันทั้งหมดอยู่ /Users/myUserName/Sites/wp3.1/wp-content/plugins/เมื่อฉันต้องการที่จะติดตั้งปลั๊กอินผมเพียงแค่สร้างการเชื่อมโยงสัญลักษณ์ใน สิ่งนี้ใช้งานได้ดีสำหรับปลั๊กอินอย่างง่าย แต่หากปลั๊กอินจัดคิวเป็นสไตล์ชีทหรือสคริปต์ URL จะแสดงเป็น: http://wp3.1/wp-content/plugins/Users/myUserName/git/options-framework-plugin/css/colorpicker.css?ver=3.1.1 ฉันจะแก้ไขสิ่งนี้ได้อย่างไร

11 plugin-development  urls  wp-config  paths 

สมมติว่าฉันต้องการเปลี่ยนขีด จำกัด การอัปโหลดสูงสุดสำหรับเว็บไซต์ Wordpress และฉันให้ค่าต่อไปนี้: wp-config.php: 128MB php.ini: 256MB .htaccess: 64MB ดังนั้น Wordpress อันไหนที่จะให้ความสำคัญกับการประมวลผลเมื่อจำเป็น?

10 htaccess  wp-config  php.ini 

เป็นชื่อคำถามที่แนะนำฉันต้องการเข้าใจว่า Wordpress ทำงานกับชุดอักขระของ MySQL และตัวเลือกการเรียงหน้าอย่างไร อย่างที่ฉันจะแสดงด้านล่างสิ่งต่าง ๆ ไม่สมเหตุสมผลกับฉัน ... ฉันติดตั้ง Wordpress โดยทำตามคำแนะนำในหน้าการติดตั้ง: https://codex.wordpress.org/Installing_WordPress เป็นส่วนหนึ่งของคำแนะนำฉันทำตามคำแนะนำของพวกเขาสำหรับการสร้างฐานข้อมูล MySQL บน commandline คือคำสั่ง: mysql> CREATE DATABASE databasename; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL PRIVILEGES ON databasename.* TO "wordpressusername"@"hostname" -> IDENTIFIED BY "password"; Query OK, 0 rows affected (0.00 sec) mysql> FLUSH …

10 database  mysql  options  wp-config  collation 

เมื่อเริ่มต้นด้วยการติดตั้งเครือข่ายใหม่ขั้นตอนแรกคือการติดตั้งไซต์เดียวที่มีหนึ่งบรรทัดเพิ่มเติมในwp-config.phpไฟล์: define( 'WP_ALLOW_MULTISITE', true ); หลังจากนั้นเราต้องไปที่ให้Tools > Network Setupป้อนรายละเอียดบางอย่างเช่นชื่อเครือข่ายและอีเมลสุดยอดของผู้ดูแลระบบและในที่สุดก็กดปุ่มเพื่อเรียกใช้การตั้งค่า ขั้นตอนถัดไปที่ปรากฏขึ้นเป็นจริงสองขั้นตอน: เพิ่มค่าคงที่เพิ่มเติมลงในwp-config.phpไฟล์ของคุณ define( 'MULTISITE', true ); define( 'SUBDOMAIN_INSTALL', true ); define( 'DOMAIN_CURRENT_SITE', 'example.com' ); define( 'PATH_CURRENT_SITE', '/' ); define( 'SITE_ID_CURRENT_SITE', true ); define( 'BLOG_ID_CURRENT_SITE', true ); เพิ่มกฎบางอย่างลงใน.htaccessไฟล์ของคุณ เนื่องจากฉันไม่ได้ติดตั้งเว็บไซต์เดียว (ไม่มีเหตุผลอีกต่อไป) ฉันต้องการเพิ่มค่าคงที่เหล่านั้นในwp-config.phpไฟล์ของฉันแบบไดนามิก: define( 'WP_ALLOW_MULTISITE', true ); if ( SOME_CHECK_IF_STEP-1_WAS_PASSED ) { define( 'MULTISITE', …

10 multisite  installation  wp-config  network-admin  customization 

ฉันยังไม่รู้จัก Wordpress มากมายและฉันแค่สงสัยว่า: ก่อนการติดตั้งคุณต้องกรอกข้อมูลให้ถูกต้องwp-config-sample.phpแต่จะต้องมีรหัสผ่านฐานข้อมูลด้วย มันไม่อันตรายเหรอ? ฉันหมายความว่ามีใครบางคนสามารถอธิบายได้ว่าสิ่งนี้ได้รับการปกป้องจากการอ่านไฟล์และรับรหัสผ่านของฐานข้อมูลของคุณหรือไม่

10 wp-config