Homepage » Come » Proteggi la sicurezza di WordPress spostando wp-config.php in una cartella non pubblica

    Proteggi la sicurezza di WordPress spostando wp-config.php in una cartella non pubblica

    Nel caso in cui non fossi stato ancora informato, permettimi di presentarti il ​​tuo wp-config.php file. Se esegui un blog WordPress.org self-hosted, il tuo wp-config.php contiene il tuo nome utente del database MySQL, la tua password del database MySQL, le tue chiavi di autenticazione WordPress e altre informazioni sensibili. Con queste informazioni, un hacker o uno script kiddie accede a tutti i contenuti del tuo blog WordPress, dando loro libero sfogo per eliminare i tuoi post, inserire codice dannoso, backlink verso siti porno illegali o qualsiasi altra cosa vogliano.

    Per impostazione predefinita, wp-config.php si trova nella stessa cartella del tuo blog WordPress. Quindi, se la homepage del tuo blog è su mysite.com/blog, anche il tuo wp-config.php. Non è così spericolato come sembra dato che i file .php lo sono script lato server che vengono elaborati dal server. Quando stai guardando un file .php, stai effettivamente guardando l'output del file. Lo stesso vale per quando vedi la fonte. L'unico modo per scaricare il codice raw di un file .php è tramite FTP.

    Ma, solo perché normalmente non puoi accedere a un file .php non significa che tu sia sempre al sicuro ...

    Gli incidenti accadono e le vulnerabilità esistono. Se la configurazione PHP del tuo server web si guasta, i tuoi tipi MIME non sono impostati correttamente, o il tuo server web è diversamente configurato male, la tua pagina web potrebbe finire per fornire testo semplice invece dell'output PHP elaborato; questo è solo un esempio. E, proprio come essere depiantati durante un pep rally nell'auditorium della scuola superiore, ci vuole solo una frazione di secondo e prima che tu riesca a riprenderti le mutande, hanno visto tutto. Sì, hanno visto tutto.

    In questo groovyPost, ti mostrerò come mantenere il tuo wp-config.php con i tuoi nomi utente e password di database MySQL sicuri (r). Sebbene nessun sito web o blog sia inaccessibile al 100%, questo suggerimento rapido renderà più difficile l'hacking del tuo blog WordPress per potenziali intrusi rispetto a un sito che non ha adottato queste precauzioni. Di solito solo essere più sicuro del tuo vicino è abbastanza per scoraggiare gli sforzi di un hacker potenziale verso un sito diverso dal tuo. Ricorda, se ti trovi nei boschi con un gruppo di persone e si presenta un orso, non devi correre più veloce dell'orso, solo più velocemente delle altre persone. (e a parte gli scherzi, Bear mace è la soluzione migliore se ti trovi davvero in quella situazione)

    Spostando il tuo file wp-config.php

    Con i permessi di file corretti e un server web configurato correttamente, mantenere il tuo file wp-config.php nella stessa cartella pubblica del resto del tuo blog dovrebbe essere perfetto. Ma quando si tratta di proteggere il tuo sito web, la sicurezza è una cipolla (o Ogre apparentemente); più strati, più ne hai.

    Il Codice WordPress afferma questo sentimento e ti raccomanda di spostare il tuo wp-config.php dal suo percorso di installazione predefinito. I blog ospitati da WordPress.org ti consentono di spostare wp-config.php su un livello dalla radice del tuo blog. Va bene, ma per la maggior parte dei server Web, un livello superiore rispetto alla radice del tuo blog ancora una cartella public_html. È meglio metterlo in una cartella che non è una sottodirectory della tua cartella public_html o WWW. In questo modo, le probabilità che qualcuno lo raggiunga tramite un browser Web o qualsiasi altra applicazione HTTP è praticamente nulla.

    Ecco cosa fai:

    Passo 1

    Accedi al tuo sito WordPress.org tramite un programma FTP e vai alla radice.

    Passo 2

    Scarica wp-config.php sul tuo disco rigido.

    Passaggio 3

    Rinominalo in qualcosa di diverso da wp-config.php.

    Rendilo qualcosa di insensato, quindi qualcuno che lo incappa (forse qualcuno che ha violato il tuo server condiviso via SSH) potrebbe non riconoscerlo per quello che è. Quindi, invece di chiamarlo "off-site-wordpress-config.php” chiamalo "Futurama-fan-fic.php.”

    Passaggio 4

    Carica il tuo file wp-config.php rinominato in una cartella sopra la tua cartella public_html o www. Personalmente, ho creato un'intera directory per i file di configurazione esterni. Ma probabilmente è più sicuro metterli in un posto più casuale.

    La cosa più importante è metterlo al di fuori del tuo www o cartella public_html.

    Passaggio 5

    Apri il blocco note o il tuo altro editor PHP preferito.

    Crea un nuovo file wp-config.php che contenga solo il seguente codice:

    include ( '/ home / usr / hobby / Futurama-fan-fic.php');
    ?>

    Sostituisci la directory qui con il percorso del server del tuo file wp-config.php rinominato. Nota che questo non è un URL, è un percorso relativo alla posizione del tuo server. Quindi, rendendolo:

    include ( 'www.yourdomain.com/location/futurama-fan-fic.php');

    non funzionerà.

    Come probabilmente avrai capito, ciò che farà sarà essenzialmente creare un "scorciatoia"Al tuo attuale file wp-config.php. Quindi, se qualcuno ha hackerato il tuo file wp-config.php nella tua directory di WordPress, tutto quello che troveranno è un file che punta a un altro file.

    Per divertimento, potresti voler aggiungere un commento che dice:

    // Grazie Mario! Ma la nostra principessa è in un altro castello!

    Passaggio 6

    Carica il tuo nuovo file wp-config.php nella tua radice di WordPress. Sovrascrivi quello vecchio (l'hai sostenuto prima, giusto?).

    Passaggio 7

    Questo è tutto! Accedi al tuo blog root WordPress.org per assicurarti che funzioni.

    Se ricevi un errore che dice:

    avvertimento: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: impossibile aprire lo stream: Nessun file o directory in/home/usr/public_html/blog.com/wp-config.php in linea 2

    Errore fatale: Chiamata alla funzione non definita wp () in /wp-blog-header.php in linea 14

    Quindi significa che hai digitato la posizione del server errata nel tuo file wp-config.php modificato. Se hai problemi a determinare il percorso assoluto del tuo blog, crea un file .php con il seguente codice:

    Questo ti mostrerà il percorso assoluto per qualunque directory in cui si trova il file e illuminerà anche come spostarti sopra la cartella public_html.

    Se ricevi un messaggio di errore che dice:

    Non sembra esserci un wp-config.php file. Ho bisogno di questo prima che possiamo iniziare. Serve ancora aiuto? Abbiamo capito. Puoi creare un wp-config.php file attraverso un'interfaccia web, ma questo non funziona per tutte le configurazioni del server. Il modo più sicuro è creare manualmente il file.

    Quindi significa che non c'è alcun file wp-config.php nella tua radice di WordPress.org. Verifica di aver caricato il file wp-config.php modificato nella root di WordPress.org o nella cartella appena sopra e il file wp-config.php rinominato in un'altra posizione, piuttosto che viceversa.

    Conclusione

    Spostare il tuo wp-config.php renderà il tuo blog a prova di proiettile? Certamente no. Ma è solo uno dei passi che puoi compiere per rendere più sicuro il tuo sito web o blog. E per me, mi aiuta a dormire meglio di notte, proprio come mettere una catenina o catenaccio in più sulla porta.

    Nota: prima di andare a passeggio nella struttura dei file, assicurati di avere un back up e sentirti a tuo agio con quello che stai facendo. Potresti rovinare seriamente il tuo blog WordPress se elimini la cosa sbagliata. Sei stato avvertito.