Пароль в wp-конфигурации. Опасный?

Я еще мало знаю о Wordpress, и мне просто интересно:

Перед установкой вам необходимо ввести правильные данные в wp-config-sample.php, но это также включает пароль базы данных. Разве это не опасно? Я имею в виду, может ли кто-нибудь объяснить, как это защищено от простого чтения файла и, таким образом, получения пароля вашей базы данных?

 11
wp-config
Author: Bram Vanroy, 2012-05-29
Source

5 answers

Страница "Укрепление WordPress" Кодекса содержит раздел "Обеспечение безопасности wp-config.php ". Это включает в себя изменение разрешений на 440 или 400. Вы также можете переместить файл wp-config на один каталог вверх от корневого каталога, если это позволяет конфигурация вашего сервера.

Конечно, есть некоторая опасность иметь файл с таким паролем, если кто-то получит доступ к вашему серверу, но, честно говоря, в этот момент они уже находятся на вашем сервере.

Наконец, вы не у вас есть большой выбор. Я никогда не видел альтернативного способа настройки WordPress. Вы можете заблокировать его настолько, насколько сможете, но так устроен WordPress, и если бы это было серьезной угрозой безопасности, они бы так не поступили.

 14
Author: mrwweb, 2021-01-27 02:36:04

Чтобы обосновать необходимость сохранения вашего конфигурационного файла на один уровень выше корневого веб-каталога (как предлагал mrwweb): несколько месяцев назад автоматическое обновление на нашем производственном сервере убило php, но оставило apache запущенным. Таким образом, всем, кто заходил на домашнюю страницу, предлагалось index.php в качестве загрузки . Теоретически, любой, кто знал, что это сайт WordPress, мог бы запросить wp-config.php, и получил его (если бы он был в корневом каталоге сети). Конечно, они могли бы использовать только эти базы данных учетные данные, если бы мы разрешили удаленные подключения к MySQL - но все равно, не круто. Я понимаю, что это второстепенный случай, но так легко скрыть вашу конфигурацию от посторонних глаз, почему бы не сделать это?

 9
Author: MathSmath, 2012-05-30 02:13:48

Если у кого-то нет доступа через FTP, вам не нужно беспокоиться об этом. PHP отображается на сервере до того, как он попадет в браузер пользователя.

 2
Author: Simon, 2012-05-29 16:51:35

Вот еще один совет: защитите wp-config.php (и любые другие конфиденциальные файлы) с .htaccess

Добавьте следующее в файл .htaccess в каталоге вашего сайта, где находятся все остальные файлы WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Из Как укрепить вашу установку WordPress

 2
Author: Nick, 2018-08-16 00:27:51

Если у кого-то есть доступ к чтению содержимого ваших Php-файлов, вас уже взломали.

 0
Author: Otto, 2012-05-30 01:07:26