Пароль в wp-конфигурации. Опасный?
Я еще мало знаю о Wordpress, и мне просто интересно:
Перед установкой вам необходимо ввести правильные данные в wp-config-sample.php
, но это также включает пароль базы данных. Разве это не опасно? Я имею в виду, может ли кто-нибудь объяснить, как это защищено от простого чтения файла и, таким образом, получения пароля вашей базы данных?
5 answers
Страница "Укрепление WordPress" Кодекса содержит раздел "Обеспечение безопасности wp-config.php ". Это включает в себя изменение разрешений на 440 или 400. Вы также можете переместить файл wp-config на один каталог вверх от корневого каталога, если это позволяет конфигурация вашего сервера.
Конечно, есть некоторая опасность иметь файл с таким паролем, если кто-то получит доступ к вашему серверу, но, честно говоря, в этот момент они уже находятся на вашем сервере.
Наконец, вы не у вас есть большой выбор. Я никогда не видел альтернативного способа настройки WordPress. Вы можете заблокировать его настолько, насколько сможете, но так устроен WordPress, и если бы это было серьезной угрозой безопасности, они бы так не поступили.
Чтобы обосновать необходимость сохранения вашего конфигурационного файла на один уровень выше корневого веб-каталога (как предлагал mrwweb): несколько месяцев назад автоматическое обновление на нашем производственном сервере убило php, но оставило apache запущенным. Таким образом, всем, кто заходил на домашнюю страницу, предлагалось index.php в качестве загрузки . Теоретически, любой, кто знал, что это сайт WordPress, мог бы запросить wp-config.php, и получил его (если бы он был в корневом каталоге сети). Конечно, они могли бы использовать только эти базы данных учетные данные, если бы мы разрешили удаленные подключения к MySQL - но все равно, не круто. Я понимаю, что это второстепенный случай, но так легко скрыть вашу конфигурацию от посторонних глаз, почему бы не сделать это?
Если у кого-то нет доступа через FTP, вам не нужно беспокоиться об этом. PHP отображается на сервере до того, как он попадет в браузер пользователя.
Вот еще один совет: защитите wp-config.php (и любые другие конфиденциальные файлы) с .htaccess
Добавьте следующее в файл .htaccess в каталоге вашего сайта, где находятся все остальные файлы WordPress:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Если у кого-то есть доступ к чтению содержимого ваших Php-файлов, вас уже взломали.