Karkottaa WordPress-suojauksen siirtämällä wp-config.php ei-julkiseen kansioon
Jos et ole vielä tutustunut, anna minun esitellä teille wp-config.php- tiedostosi. Jos käytät itsenäistä WordPress.org-blogia, wp-config.php sisältää MySQL-tietokannan käyttäjänimesi, MySQL-tietokannasanasi, WordPress-todennusavaimet ja muut arkaluonteiset tiedot. Näillä tiedoilla hakkeri- tai komentosarjahyppy pääsee käsiksi WordPress-blogiisi jokaiseen sisältöön, antaen heille mahdollisuuden poistaa viestisi, lisätä haitallisen koodin, kääntää linkin laitonta pornosivustoa tai mitä muuta he haluavat.
Oletuksena wp-config.php istuu samassa kansioon kuin WordPress-blogi. Joten, jos blogisi kotisivu on osoitteessa mysite.com/blog, niin on myös wp-config.php. Se ei ole yhtä varovainen kuin näyttää, koska .php-tiedostot ovat palvelinpuolen komentosarjoja, joita palvelin käsittelee. Kun tarkastelet .php-tiedostoa, olet itse tarkastelemassa tiedoston tuottoa. Sama koskee myös lähdettä tarkasteltaessa. Ainoa tapa ladata .php-tiedoston raakakoodi on FTP: n kautta.
Mutta vain koska et voi käyttää .php-tiedostoa, se ei tarkoita, että olet aina turvallinen ...
Onnettomuuksia esiintyy ja haavoittuvuuksia esiintyy. Jos Web-palvelimen PHP-kokoonpano hajoaa, MIME-tyyppejäsi ei ole määritetty oikein tai verkkopalvelimesi muutoin on virheellinen, Web-sivu saattaa päätyä tekstin piilottamiseen PHP: n tuottaman sijaan. tämä on vain muutamia esimerkkejä. Ja samalla tavoin kuin lukemisen aikana pimeässä ralliin, se kestää vain sekunnin kuluttua ja ennen kuin saat rintaliivit takaisin, he ovat nähneet kaiken. Niin, he ovat nähneet kaiken.
Tässä -ohjelmassa näytän sinulle, kuinka pidät wp-config.php: n MySQL-tietokannassasi käyttäjätunnukset ja salasanat turvallisina (r). Vaikka mikään verkkosivusto tai blogi ei ole 100% epäkunnioittavissa, tämä nopea vinkki tekee hakkeroimasta WordPress-blogisi vaikeammaksi haitallisille tunkeilijoille kuin sivusto, joka ei ole noudattanut näitä varotoimia. Yleensä vain turvallisempi kuin naapurisi on tarpeeksi estää halukkaita hakkeriyrityksiä muualta kuin omaan sivustoosi. Muista, että jos olet aina metsässä ihmisryhmän kanssa ja karhu näkyy - sinun ei tarvitse juosta nopeammin kuin karhu, nopeammin kuin muut ihmiset. ( ja kaikki leikkiä syrjään, Bear-mace on paras panos, jos olet koskaan todella siinä tilanteessa )
Wp-config.php-tiedoston siirtäminen
Oikeilla tiedostojen käyttöoikeuksilla ja oikein määritetyllä web-palvelimella pitää wp-config.php-tiedostosi samassa julkisessa kansiossa kuin muualla blogissasi. Mutta kun suojelet verkkosivustoasi, turvallisuus on sipuli ( tai Ogre ilmeisesti); sitä enemmän kerroksia, sitä enemmän sitä saat.
WordPress Codex vahvistaa tämän näkemyksen ja suosittelee, että siirrät wp-config.php pois oletusasennuksen sijainnista. WordPress.orgin itsenäisillä blogeilla voit siirtää wp-config.php-tasoa yhdelle tasolle blogin juuresta. Kaikki on hyvin ja hyvää, mutta useimmille WWW-palvelimille yksi taso blogisi rootista on edelleen public_html-kansio. Sinun kannattaa laittaa se kansioon, joka ei ole julkisen tai WWW-kansion alihakemisto. Näin mahdollisuudet joku saavuttaa sen verkkoselaimen tai muun HTTP-sovelluksen kautta on lähes olematon.
Näin voit tehdä:
Vaihe 1
Käytä WordPress.org-sivustoasi FTP-ohjelman kautta ja siirry juurelle.
Vaihe 2
Lataa wp-config.php kiintolevylle.
Vaihe 3
Nimeä se muuhun kuin wp-config.php.
Tee siitä jotain järjetöntä, joten joku, joka seisoo sen päälle ( ehkä joku, joka on hakkeroitu palvelimellesi SSH: n kautta), ei ehkä tunnista sitä, mitä se on. Joten, sen sijaan, että kutsut sitä " off-site-wordpress-config.php" kutsuvat sitä " futurama-fan-fic.php ".
Vaihe 4
Lataa uudelleen nimetty wp-config.php-tiedosto kansioon public_html tai www-kansion yläpuolelle. Henkilökohtaisesti luotiin koko hakemisto off-site-konfigurointitiedostoille. Mutta on todennäköisesti turvallisempaa laittaa ne jonnekin satunnaisemmiksi.
Tärkeintä on laittaa se www- tai public_html-kansion ulkopuolelle.
Vaihe 5
Avaa muistilehtiö tai toinen suosikki PHP-editori.
Luo uusi wp-config.php-tiedosto, joka sisältää vain seuraavan koodin:
ovat ( '/ home / usr / harrastukset / futurama-fan-fic.php');
?>
Vaihda hakemisto tähän nimetyn wp-config.php-tiedoston palvelinpaikkaan. Huomaa, että tämä ei ole URL-osoite, se on polku suhteessa palvelimen sijaintiin. Joten, sen tekeminen:
ovat (www.yourdomain.com/location/futurama-fan-fic.php ');
ei toimi.
Kuten luultavasti olette keränneet, mitä tämä tekee, se luo olennaisesti " pikakuvakkeen " todelliseen wp-config.php-tiedostoosi. Joten, jos joku hakkasi wp-config.php-tiedostosi WordPress-hakemistoosi, kaikki he löytävät tiedoston, joka osoittaa toiselle tiedostolle.
Hauskaa, voit lisätä kommentin, joka lukee:
// Kiitos Mario! Mutta prinsessamme on toisessa linnassa!
Vaihe 6
Lataa uusi wp-config.php-tiedosto WordPress-juurille. Korvaa vanha ( varmuuskopioit sen ensin, eikö? ).
Vaihe 7
Se siitä! Siirry WordPress.org-blogiisi, jotta voit varmistaa sen toimivan.
Jos saat virheen, joka lukee:
Varoitus : sisällytä (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: epäonnistui avata stream: Ei sellaista tiedostoa tai hakemistoa /home/usr/public_html/blog.com/ wp-config.php rivillä 2
Kuolemaan johtanut virhe : Soita undefined -toimintoon wp () /wp-blog-header.php rivillä 14
Sitten se tarkoittaa, että olet kirjoittanut palvelimen sijainnin väärin muokatussa wp-config.php-tiedostossa. Jos sinulla on vaikeuksia määrittää blogisi absoluuttinen polku, luo .php-tiedosto, jolla on seuraava koodi:
Tämä näyttää absoluuttisen polun missä tahansa hakemistossa tiedosto on, ja myös valaisee, miten siirryt public_html-kansion yläpuolelle.
Jos saat virheilmoituksen, joka lukee:
Ei näytä olevan
wp-config.php
tiedosto. Tarvitsen tämän ennen kuin voimme aloittaa. Tarvitsetko enemmän apua? Me saimme sen. Voit luodawp-config.php
tiedoston web-käyttöliittymän kautta, mutta tämä ei toimi kaikissa palvelimen asetuksissa. Suurin tapa on luoda tiedosto manuaalisesti.
Sitten se tarkoittaa, että WordPress.org-juuressa ei ole wp-config.php-tiedostoa. Tarkista, että olet lähettänyt muokatun wp-config.php-tiedoston WordPress.org-juurihakemistoon tai juuri sen yläpuolelle olevaan kansioon ja nimetyn wp-config.php-tiedoston toiseen paikkaan sen sijaan, että päinvastoin.
johtopäätös
Siirrätkö wp-config.phpsi blogisi luodinkestäviksi? Ainakaan. Mutta se on vain yksi askeleista, joiden avulla voit tehdä verkkosivustosi tai blogisi turvallisemmaksi. Ja minulle se auttaa minua nukkumaan paremmin yöllä - aivan kuten ylimääräisen ketjun tai deadboltin asettaminen ovesta.
Huomaa: Ennen kuin siirryt tiedostorakenteesi ympärille, varmista, että olet takana asioita ja että olet tyytyväinen siihen, mitä olet tekemässä. Voit vakavasti haitata WordPress-blogisi, jos poistat väärän asian. Sinut on varoitettu.