Herd WordPress Security ved å flytte wp-config.php til en ikke-offentlig mappe
Hvis du ikke har vært kjent ennå, la meg introdusere deg til din wp-config.php- fil. Hvis du kjører en selvstendig WordPress.org-blogg, inneholder wp-config.php ditt MySQL-databasebrukernavn, MySQL-databasepassordet ditt, WordPress-godkjenningsnøklene og annen sensitiv informasjon. Med denne informasjonen får en hacker eller skriptkiddi tilgang til alt innhold på WordPress-bloggen din, og gir dem gratis tømmer for å slette innleggene dine, sette inn ondsinnet kode, tilbakekobling til ulovlige pornofilter eller hva annet de vil.
Som standard setter wp-config.php i samme mappe som WordPress-bloggen din. Så, hvis hjemmesiden til bloggen din er på mysite.com/blog, så er din wp-config.php. Det er ikke så hensynsløst som det virker siden. Php-filer er server-side skript som behandles av serveren. Når du ser på en .php-fil, ser du faktisk på filens utgang. Det samme gjelder for når du ser kilden. Den eneste måten å laste ned den raske koden til en .php-fil, er via FTP.
Men bare fordi du ikke normalt kan få tilgang til en .php-fil, betyr ikke at du alltid er trygg ...
Ulykker skjer, og sårbarheter eksisterer. Hvis webserverens PHP-konfigurasjon brytes ned, er dine MIME-typer ikke konfigurert riktig, eller hvis webserveren ellers er feilkonfigurert, kan nettsiden din ende opp med å vise ren tekst i stedet for behandlet PHP-utgang; det er bare noen få eksempler. Og akkurat som å være depantsed i løpet av en pep rally i videregående opplæring, tar det bare en splittet sekund, og før du kan få dine knickers tilbake på de har sett alt. Ja, de har sett alt.
I denne vil jeg vise deg hvordan du beholder wp-config.php med MySQL-databasen brukernavn og passord trygt (r). Selv om ingen nettside eller blogg er 100% uhackelig, vil dette raske tipset hackere WordPress-bloggen din vanskeligere for å være inntrengere enn et nettsted som ikke har tatt disse forholdsregler. Vanligvis bare å være sikrere enn naboen din, er nok til å avskrekke en hackers innsats til et annet nettsted enn ditt eget. Husk at hvis du noen gang er i skogen med en gruppe mennesker, og en bjørn kommer opp - du trenger ikke å kjøre raskere enn bjørnen, bare raskere enn de andre. ( og alt sjokkerer til side, er Bear mace din beste innsats hvis du noen gang er virkelig i den situasjonen )
Flytter din wp-config.php-fil
Med de riktige filtillatelsene og en riktig konfigurert webserver, bør du holde helt wp-config.php-filen i samme offentlige mappe som resten av bloggen din. Men når det gjelder å beskytte nettstedet ditt, er sikkerhet et løk ( eller Ogre tilsynelatende); Jo flere lag, jo mer av det har du.
WordPress Codex bekrefter dette følelsen og anbefaler at du flytter wp-config.php bort fra standardinstallasjonsstedet. WordPress.org selvbehandlede blogger lar deg flytte wp-config.php opp ett nivå fra bloggens rot. Det er alt bra og bra, men for de fleste webservere er ett nivå opp fra blogroten din fortsatt en public_html-mappe. Du er best i å sette den i en mappe som ikke er en underkatalog i public_html eller WWW-mappen. På den måten er sjansene for at noen når det via en nettleser eller et annet HTTP-program nesten null.
Her er hva du gjør:
Trinn 1
Få tilgang til ditt WordPress.org-nettsted via et FTP-program og naviger til roten.
Steg 2
Last ned wp-config.php til harddisken din.
Trinn 3
Gi nytt navn til noe annet enn wp-config.php.
Gjør det noe nonsensisk, så noen som snubler over det ( kanskje noen som har hacket inn på den delte serveren din via SSH), kan ikke gjenkjenne det for hva det er. Så, i stedet for å kalle det " off-site-wordpress-config.php" kaller det " futurama-fan-fic.php ."
Trinn 4
Last opp den omdøpte wp-config.php-filen til en mappe over din public_html eller www-mappe. Personlig har jeg opprettet en hel katalog for konfigurasjonsfiler på stedet. Men det er sannsynligvis tryggere å sette dem et sted mer tilfeldig.
Det viktigste er å sette den utenfor din www eller public_html-mappe.
Trinn 5
Åpne opp notisblokken eller din andre favoritt PHP-editor.
Opprett en ny wp-config.php-fil som bare inneholder følgende kode:
inkluderer ( '/ home / usr / hobbyer / Futurama-fan-fic.php');
?>
Erstatt katalogen her med serverplasseringen til den omdøpte wp-config.php-filen. Vær oppmerksom på at dette ikke er en nettadresse, det er en sti i forhold til serveradressen din. Så, gjør det:
omfatte ( 'www.yourdomain.com/location/futurama-fan-fic.php');
vil ikke fungere.
Som du sikkert har samlet, hva dette vil gjøre er å skape en " snarvei " til din faktiske wp-config.php-fil. Så hvis noen hakker din wp-config.php-fil i WordPress-katalogen, er alt de finner, en fil som peker på en annen fil.
For moro skyld kan du legge til en kommentar som lyder:
// Takk Mario! Men vår prinsesse er i et annet slott!
Trinn 6
Last opp den nye wp-config.php-filen til WordPress-roten din. Overskrive den gamle ( du sikkerhetskopierte det først, ikke sant? ).
Trinn 7
Det er det! Naviger til WordPress.org bloggroten din for å sikre at den virket.
Hvis du får en feil som lyder:
Advarsel : inkludere (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: mislyktes å åpne strøm: Ingen slik fil eller katalog i /home/usr/public_html/blog.com/ wp-config.php på linje 2
Fatal feil : Ring til udefinert funksjon wp () i /wp-blog-header.php på linje 14
Da betyr det at du skrev inn på serverplasseringen feil i din endrede wp-config.php-fil. Hvis du har problemer med å bestemme den absolutte banen til bloggen din, opprett en .php-fil med følgende kode i den:
Dette vil vise deg den absolutte banen for hvilken katalog som filen er i, og vil også belyse hvordan du beveger deg over mappen public_html.
Hvis du får en feilmelding som leser:
Det ser ikke ut til å være en
wp-config.php
fil. Jeg trenger dette før vi kan komme i gang. Trenger du mer hjelp? Vi har det. Du kan opprette enwp-config.php
fil gjennom et webgrensesnitt, men dette fungerer ikke for alle serveroppsett. Den sikreste måten er å manuelt opprette filen.
Da betyr det at det ikke er noen wp-config.php-fil i WordPress.org-rotasjonen din. Dobbeltklikk at du lastet opp den modifiserte wp-config.php til WordPress.org-roten eller mappen rett over den, og den omdøpte wp-config.php-filen til et annet sted, heller enn omvendt.
Konklusjon
Vil du flytte wp-config.php, gjør bloggen din kollettfri? Absolutt ikke. Men det er bare ett av trinnene du kan ta for å gjøre nettstedet ditt eller bloggen mer sikker. Og for meg hjelper det meg å sove bedre om natten - akkurat som å sette en ekstra kjede eller dødbolt på døren.
Merk: Før du drar rundt filstrukturen, må du sørge for at du får ting tilbake og føler deg komfortabel med det du gjør. Du kan seriøst rote opp WordPress-bloggen din hvis du sletter feil ting. Du har blitt advart.