Я ще не знаю багато Wordpress, і мені просто цікаво:
Перед встановленням потрібно заповнити правильні дані, wp-config-sample.phpале це також включає пароль бази даних. Хіба це не небезпечно? Я маю на увазі, чи може хтось пояснити, як це захищено від простого читання файлу та отримання пароля вашої БД?
Відповіді:
Сторінка «Загартовування WordPress» Кодексу містить розділ «Забезпечення wp-config.php» . Він включає зміну дозволів на 440 або 400. Ви також можете перемістити файл wp-config один каталог вгору від кореня, якщо конфігурація вашого сервера дозволяє це.
Звичайно, є небезпека виникнення файлу з таким паролем, якщо хтось отримає доступ до вашого сервера, але, чесно кажучи, в цей момент вони вже є на вашому сервері.
Нарешті, у вас немає великого вибору. Я ніколи не бачив альтернативного засобу налаштування WordPress. Ви можете заблокувати його скільки завгодно, але так будується WordPress, і якби це була серйозна загроза безпеці, вони не зробили б це так.
Щоб зробити так, щоб ваш конфігураційний файл вийшов на один рівень вище від кореня веб-сторінки (як запропонував mrwweb): кілька місяців тому автоматичне оновлення на виробничому сервері нашого убитого php, але апарат залишився запущеним. Тож усім, хто заходить на домашню сторінку, пропонували index.php як завантаження . Теоретично, кожен, хто знав, що це сайт WordPress, міг би попросити wp-config.php та отримати його (якби він був у веб-корінці). Звичайно, вони зможуть використовувати ці дані DB тільки тоді, коли ми дозволимо віддалені з’єднання MySQL - але все-таки не круто. Я усвідомлюю, що це бахрома, але так просто утримати конфігурацію поза зором, чому б не зробити це?
Ось ще одна порада: захистіть wp-config.php (та будь-які інші чутливі файли) за допомогою .htaccess
Додайте наступне до .htaccess-файлу у каталозі вашого сайту, де знаходяться всі інші файли WordPress:
<Files wp-config.php>
order allow,deny
deny from all
</Files>