保护wp-config会导致wp设置上的敏感信息泄露

时间:2011-03-14 作者:Andy

我阅读了以下教程,其中提到将配置文件从HTTP可访问文件夹中移出。

http://codex.wordpress.org/Hardening_WordPress#Securing_wp-config.php

我这样做了,效果很好。当我访问时http://mysite.com/wp-config.php, 正如所料,我看到了一个空白页。然而,当我访问http://mysite.com/wp-settings.php, 我收到以下错误:

警告:require(ABSPATHwp includes/load.php)[函数.require]:打开流失败:在/home/{my user name}/mysite中没有这样的文件或目录。com/wp设置。php第19行

致命错误:require()[函数.require]:无法打开所需的“ABSPATHwp includes/load”。php“(include\\u path=\'。:/usr/local/lib/php:/usr/local/php5/lib/pear”)位于/home/{my user name}/mysite中。com/wp设置。php第19行

我对WordPress和PHP不熟悉,但对编程并不陌生。显然,如果有人要点击我的wp设置文件,将我的shell用户名输出到web上是不可能的。

那么,你能像我在这里一样,将你的配置文件从web目录中删除,而不使用像wp设置这样的文件,这样会导致敏感信息泄漏到屏幕上吗?我是不是做错了?

1 个回复
最合适的回答,由SO网友:Rarst 整理而成

嗯,如果直接打开,核心WP文件通常会正确地消亡。它可能会让开发人员在这个或其他地方加入check。

解决此问题的简单方法(并非真正针对WP)是:

在服务器上配置PHP,默认情况下不显示错误

结束
标签: security   options   wp-config   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201