Herd WordPress Security ved å flytte wp-config.php til en ikke-offentlig mappe

Hvis du ikke har vært kjent ennå, la meg introdusere deg til din wp-config.php- fil. Hvis du kjører en selvstendig WordPress.org-blogg, inneholder wp-config.php ditt MySQL-databasebrukernavn, MySQL-databasepassordet ditt, WordPress-godkjenningsnøklene og annen sensitiv informasjon. Med denne informasjonen får en hacker eller skriptkiddi tilgang til alt innhold på WordPress-bloggen din, og gir dem gratis tømmer for å slette innleggene dine, sette inn ondsinnet kode, tilbakekobling til ulovlige pornofilter eller hva annet de vil.

Som standard setter wp-config.php i samme mappe som WordPress-bloggen din. Så, hvis hjemmesiden til bloggen din er på mysite.com/blog, så er din wp-config.php. Det er ikke så hensynsløst som det virker siden. Php-filer er server-side skript som behandles av serveren. Når du ser på en .php-fil, ser du faktisk på filens utgang. Det samme gjelder for når du ser kilden. Den eneste måten å laste ned den raske koden til en .php-fil, er via FTP.

Men bare fordi du ikke normalt kan få tilgang til en .php-fil, betyr ikke at du alltid er trygg ...

Ulykker skjer, og sårbarheter eksisterer. Hvis webserverens PHP-konfigurasjon brytes ned, er dine MIME-typer ikke konfigurert riktig, eller hvis webserveren ellers er feilkonfigurert, kan nettsiden din ende opp med å vise ren tekst i stedet for behandlet PHP-utgang; det er bare noen få eksempler. Og akkurat som å være depantsed i løpet av en pep rally i videregående opplæring, tar det bare en splittet sekund, og før du kan få dine knickers tilbake på de har sett alt. Ja, de har sett alt.

I denne vil jeg vise deg hvordan du beholder wp-config.php med MySQL-databasen brukernavn og passord trygt (r). Selv om ingen nettside eller blogg er 100% uhackelig, vil dette raske tipset hackere WordPress-bloggen din vanskeligere for å være inntrengere enn et nettsted som ikke har tatt disse forholdsregler. Vanligvis bare å være sikrere enn naboen din, er nok til å avskrekke en hackers innsats til et annet nettsted enn ditt eget. Husk at hvis du noen gang er i skogen med en gruppe mennesker, og en bjørn kommer opp - du trenger ikke å kjøre raskere enn bjørnen, bare raskere enn de andre. ( og alt sjokkerer til side, er Bear mace din beste innsats hvis du noen gang er virkelig i den situasjonen )

Flytter din wp-config.php-fil

Med de riktige filtillatelsene og en riktig konfigurert webserver, bør du holde helt wp-config.php-filen i samme offentlige mappe som resten av bloggen din. Men når det gjelder å beskytte nettstedet ditt, er sikkerhet et løk ( eller Ogre tilsynelatende); Jo flere lag, jo mer av det har du.

WordPress Codex bekrefter dette følelsen og anbefaler at du flytter wp-config.php bort fra standardinstallasjonsstedet. WordPress.org selvbehandlede blogger lar deg flytte wp-config.php opp ett nivå fra bloggens rot. Det er alt bra og bra, men for de fleste webservere er ett nivå opp fra blogroten din fortsatt en public_html-mappe. Du er best i å sette den i en mappe som ikke er en underkatalog i public_html eller WWW-mappen. På den måten er sjansene for at noen når det via en nettleser eller et annet HTTP-program nesten null.

Her er hva du gjør:

Trinn 1

Få tilgang til ditt WordPress.org-nettsted via et FTP-program og naviger til roten.

Steg 2

Last ned wp-config.php til harddisken din.

Trinn 3

Gi nytt navn til noe annet enn wp-config.php.

Gjør det noe nonsensisk, så noen som snubler over det ( kanskje noen som har hacket inn på den delte serveren din via SSH), kan ikke gjenkjenne det for hva det er. Så, i stedet for å kalle det " off-site-wordpress-config.php" kaller det " futurama-fan-fic.php ."

Trinn 4

Last opp den omdøpte wp-config.php-filen til en mappe over din public_html eller www-mappe. Personlig har jeg opprettet en hel katalog for konfigurasjonsfiler på stedet. Men det er sannsynligvis tryggere å sette dem et sted mer tilfeldig.

Det viktigste er å sette den utenfor din www eller public_html-mappe.

Trinn 5

Åpne opp notisblokken eller din andre favoritt PHP-editor.

Opprett en ny wp-config.php-fil som bare inneholder følgende kode:

inkluderer ( '/ home / usr / hobbyer / Futurama-fan-fic.php');
?>

Erstatt katalogen her med serverplasseringen til den omdøpte wp-config.php-filen. Vær oppmerksom på at dette ikke er en nettadresse, det er en sti i forhold til serveradressen din. Så, gjør det:

omfatte ( 'www.yourdomain.com/location/futurama-fan-fic.php');

vil ikke fungere.

Som du sikkert har samlet, hva dette vil gjøre er å skape en " snarvei " til din faktiske wp-config.php-fil. Så hvis noen hakker din wp-config.php-fil i WordPress-katalogen, er alt de finner, en fil som peker på en annen fil.

For moro skyld kan du legge til en kommentar som lyder:

// Takk Mario! Men vår prinsesse er i et annet slott!

Trinn 6

Last opp den nye wp-config.php-filen til WordPress-roten din. Overskrive den gamle ( du sikkerhetskopierte det først, ikke sant? ).

Trinn 7

Det er det! Naviger til WordPress.org bloggroten din for å sikre at den virket.

Hvis du får en feil som lyder:

Advarsel : inkludere (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: mislyktes å åpne strøm: Ingen slik fil eller katalog i /home/usr/public_html/blog.com/ wp-config.php på linje 2

Fatal feil : Ring til udefinert funksjon wp () i /wp-blog-header.php på linje 14

Da betyr det at du skrev inn på serverplasseringen feil i din endrede wp-config.php-fil. Hvis du har problemer med å bestemme den absolutte banen til bloggen din, opprett en .php-fil med følgende kode i den:

Dette vil vise deg den absolutte banen for hvilken katalog som filen er i, og vil også belyse hvordan du beveger deg over mappen public_html.
Hvis du får en feilmelding som leser:
Det ser ikke ut til å være en wp-config.php fil. Jeg trenger dette før vi kan komme i gang. Trenger du mer hjelp? Vi har det. Du kan opprette en wp-config.php fil gjennom et webgrensesnitt, men dette fungerer ikke for alle serveroppsett. Den sikreste måten er å manuelt opprette filen.
Da betyr det at det ikke er noen wp-config.php-fil i WordPress.org-rotasjonen din. Dobbeltklikk at du lastet opp den modifiserte wp-config.php til WordPress.org-roten eller mappen rett over den, og den omdøpte wp-config.php-filen til et annet sted, heller enn omvendt.
Konklusjon 
Vil du flytte wp-config.php, gjør bloggen din kollettfri? Absolutt ikke. Men det er bare ett av trinnene du kan ta for å gjøre nettstedet ditt eller bloggen mer sikker. Og for meg hjelper det meg å sove bedre om natten - akkurat som å sette en ekstra kjede eller dødbolt på døren.
Merk: Før du drar rundt filstrukturen, må du sørge for at du får ting tilbake og føler deg komfortabel med det du gjør. Du kan seriøst rote opp WordPress-bloggen din hvis du sletter feil ting. Du har blitt advart.
					
									
							
							
								
									
								
								

									

	

		
			
		
		
			
		
		
			
		
		
			
					
	

						
									

								

																	
							

							
						

					

					



					
												
							
							
												

						
	


		


	

	
				


									

																	

						
							
							
								
							
				

					
Populære Innlegg
			
					

						

							

								Uh, Steve Jobs ... Nå har du pisset av Jon Stewart!  [GroovyNews]
							

							

							
Uh, Steve Jobs ... Nå har du pisset av Jon Stewart!  [GroovyNews]

						

						

							

								Pin en stasjon til oppgavelinjen i Windows 7
							

							

							
Pin en stasjon til oppgavelinjen i Windows 7

						

						

							

								Office 2013 Guide til PowerPoint-overganger og animasjoner
							

							

							
Office 2013 Guide til PowerPoint-overganger og animasjoner

						

						

							

								Slik endrer du filtilgangstillatelser for Windows 10-apper
							

							

							
Slik endrer du filtilgangstillatelser for Windows 10-apper

						

						

				

			
	


			
			
			

				
Levering