Wp-config中的密码。危险?

时间:2012-05-29 作者:Bram Vanroy

我还不太了解Wordpress,我只是想知道:

安装前,您必须在中填写正确的数据wp-config-sample.php 但这也包括数据库密码。那不是很危险吗?我的意思是,有人能解释一下如何保护它不只是读取文件,从而获得数据库的密码吗?

5 个回复
最合适的回答,由SO网友:mrwweb 整理而成

“The”;强化WordPress“;法典第页包含以下章节:"Securing wp-config.php". 它包括将权限更改为440或400。如果服务器配置允许,您还可以将wp config文件从根目录向上移动一个目录。

当然,如果有人访问了您的服务器,那么拥有这样一个密码的文件会有一些危险,但老实说,此时他们已经在您的服务器中了。

最后,你别无选择。我从未见过配置WordPress的其他方法。您可以尽可能多地锁定它,但WordPress就是这样构建的,如果它是serious 安全威胁,他们不会那样做。

SO网友:MathSmath

为保存配置文件提供理由one level up from the web root (正如mrwweb所建议的):几个月前,我们的生产服务器上的自动更新杀死了php,但让apache继续运行。所以每个来到主页的人都被提供了索引。php作为下载。理论上,任何知道这是WordPress网站的人都可以请求wp配置。php,并获得了它(如果它在web根目录中)。当然,只有在我们允许远程MySQL连接的情况下,他们才能使用这些DB凭据,但这并不酷。我知道这是一个边缘案例,但很容易让你的配置看不见,为什么不这样做呢?

SO网友:Simon

除非有人可以通过FTP访问,否则您不必担心这一点。PHP在进入用户浏览器之前在服务器上呈现。

SO网友:Welcome

这里还有一个提示:保护wp配置。php(和任何其他敏感文件)的。htaccess

将以下内容添加到。所有其他WordPress文件所在的站点目录中的htaccess文件:

<Files wp-config.php>
order allow,deny
deny from all
</Files>
发件人How to harden your WordPress installation

SO网友:Otto

如果有人有权读取您的Php文件的内容,那么您已经被黑客攻击了。

结束
标签: wp-config   小码农  

相关推荐

将代码追加到wp-config.php中

我们有多个wordpress站点,需要更新w3 total缓存的wp配置。我们必须附加define(\'WP_CACHE\', true); 进入wp配置。php文件。是否可以通过ssh执行此操作。我不想进入并打开每个配置文件,然后自己添加它。非常感谢您的帮助。