Wp-config şifresi. Tehlikeli?

10

Henüz çok fazla Wordpress bilmiyorum ve sadece merak ediyorum:

Kurulumdan önce doğru verileri doldurmanız gerekir, wp-config-sample.phpancak bu aynı zamanda veritabanı şifresini de içerir. Bu tehlikeli değil mi? Yani, bazıları bunun sadece dosyayı okumaktan ve böylece DB'nizin şifresini almaktan nasıl korunduğunu açıklayabilir mi?

wp-config 
Bram Vanroy
kaynak

Yanıtlar:

14

Kodeks'in "WordPress'i Sertleştirme" sayfası "wp-config.php güvenliğini sağlama" ile ilgili bir bölüm içerir . İzinlerin 440 veya 400 olarak değiştirilmesini içerir. Sunucu yapılandırmanız buna izin veriyorsa, wp-config dosyasını kökten bir dizin yukarı taşıyabilirsiniz.

Tabii ki birisi sunucunuza erişirse böyle bir parola ile bir dosyaya sahip olma tehlikesi vardır, ancak dürüst olmak gerekirse o noktada zaten sunucunuzdadır.

Son olarak, çok fazla seçeneğiniz yok. WordPress'i yapılandırmanın alternatif bir yolunu hiç görmedim. Mümkün olduğunca kilitleyebilirsiniz, ancak WordPress bu şekilde inşa edilir ve ciddi bir güvenlik tehdidi olsaydı, bunu bu şekilde yapmazlardı.

mrwweb
kaynak
Bu bağlantı için teşekkürler! Orada birçok güvenlik önlemi görebiliyorum. Bunların hepsi uygulanmalı mı? Yoksa bunların hiçbiri gerçekten gerekli değil mi?
Bram Vanroy
3
Birinin çok fazla [iyi uygulanmış] güvenliğe sahip olabileceğini bilmiyorum.
mrwweb
1
İyi uygulanmış için @mrwweb +1 *.
Richard
Bir db.php dosyası oluşturarak ve orada $ wpdb ayarlayarak veritabanı başlatmayı geçersiz kılmak mümkün değil mi? Bu, veritabanı parolası için yapılandırma değerini atlar.
Paul Keister
9

Yapılandırma dosyanızı web kökünden bir düzey yukarıda tutmak için bir durum oluşturmak için (mrwweb'ın önerdiği gibi): birkaç ay önce, bir üretim sunucumuzdaki otomatik güncelleme php'yi öldürdü ancak apache'yi çalıştırdı. Bu yüzden ana sayfaya gelen herkese karşıdan yükleme olarak index.php teklif ediliyordu . Teorik olarak, bunun bir WordPress sitesi olduğunu bilen herkes wp-config.php isteyebilir ve (web kökünde olsaydı) alabilirdi. Tabii ki, bu DB kimlik bilgilerini yalnızca uzak MySQL bağlantılarına izin verdiysek kullanabilirler, ancak yine de serin değillerdi. Bunun saçak bir durum olduğunu anlıyorum, ancak yapılandırmanızı gözden uzak tutmak çok kolay, neden yapmıyorsunuz?

MathSmath
kaynak
2

Birinin FTP üzerinden erişimi olmadığı sürece, bu konuda endişelenmenize gerek yoktur. PHP, kullanıcının tarayıcısına çarpmadan önce sunucuda oluşturulur.

Simon
kaynak
2

İşte başka bir ipucu: wp-config.php (ve diğer hassas dosyaları) .htaccess ile koruyun

Sitenizin dizinindeki diğer tüm WordPress dosyalarının bulunduğu bir .htaccess dosyasına aşağıdakileri ekleyin:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

dan WordPress kurulumunu sertleşmeye nasıl

Nick
kaynak
0

Birisi Php dosyalarınızın içeriğini okuma erişimine sahipse, zaten saldırıya uğramışsınızdır.

Otto
kaynak
1
veya web sunucusunun yapılandırması sadece .php dosyalarını metin olarak sunma noktasına kadar
ciddileşti
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.