Intereting Posts

Пароль в wp-config. Опасные?

Я еще не знаю много WordPress, и мне просто интересно:

Перед установкой вы должны заполнить правильные данные в wp-config-sample.php но это также включает пароль базы данных. Разве это не опасно? Я имею в виду, может кто-нибудь объяснить, как это защищено от простого чтения файла и, таким образом, получения пароля вашей БД?

На странице «Укрепление WordPress» в Codex содержится раздел «Защита wp-config.php» . Он включает изменение разрешений на 440 или 400. Вы также можете переместить файл wp-config на один каталог из корня, если для этого разрешена конфигурация вашего сервера.

Конечно, есть некоторая опасность иметь файл с таким паролем, если кто-то получает доступ к вашему серверу, но, честно говоря, в этот момент они уже находятся на вашем сервере.

Наконец, у вас мало выбора. Я никогда не видел альтернативных способов настройки WordPress. Вы можете заблокировать его как можно больше, но именно так создается WordPress, и если бы это была серьезная угроза безопасности, они не сделали бы этого.

Чтобы сделать ваш файл конфигурации на один уровень выше корневого веб-сайта (как предположил mrwweb): несколько месяцев назад было произведено автоматическое обновление на производственном сервере нашего убитого php, но остался apache. Поэтому всем, кто пришел на домашнюю страницу, предлагался index.php в качестве загрузки . Теоретически любой, кто знал, что это сайт WordPress, мог запросить wp-config.php и получил его (если бы он был в корневом каталоге сети). Конечно, они могли бы использовать только эти учетные данные БД, если бы мы разрешили удаленные соединения с MySQL, но все же, но не круто. Я понимаю, что это красноречивый случай, но так легко сохранить свою конфигурацию вне поля зрения, почему бы не сделать это?

Если кто-то не имеет доступа через FTP, вам не нужно беспокоиться об этом. PHP отображается на сервере до того, как он попадет в браузер пользователей.

Если у кого-то есть доступ к чтению содержимого ваших Php-файлов, вы уже были взломаны.