Jos et ole vielä tuntenut, anna minun esitellä sinulle wp-config.php tiedosto. Jos ylläpidät itse isännöityä WordPress.org-blogia, wp-config.php sisältää MySQL-tietokannan käyttäjänimesi, MySQL-tietokannan salasanasi, WordPress-todennusavaimesi ja muita arkaluonteisia tietoja. Näiden tietojen avulla hakkeri tai komentosarjan lapsi saa pääsyn WordPress-blogisi jokaiseen sisältöön ja antaa heille vapauden poistaa viestisi, lisätä haitallista koodia, käänteinen linkki laittomiin pornosivustoihin tai mihin tahansa muuhun haluamaansa.
Oletusarvoisesti wp-config.php istuu samassa kansiossa kuin WordPress-blogi. Joten, jos blogisi kotisivu on mysite.com/blog, niin on myös wp-config.php. Se ei ole niin holtiton kuin miltä näyttää .php-tiedostojen olevan palvelinpuolen komentosarjat joita palvelin käsittelee. Kun tarkastelet .php-tiedostoa, tarkastelet itse asiassa tiedoston ulostuloa. Sama koskee lähdettä tarkasteltaessa. Ainoa tapa ladata .php-tiedoston raakakoodi on FTP: n kautta.
Mutta se, että et voi normaalisti käyttää .php-tiedostoa, ei tarkoita, että olet aina turvassa …
Tapahtuu onnettomuuksia ja haavoittuvuuksia. Jos Web-palvelimesi PHP-kokoonpano hajoaa, MIME-tyyppejäsi ei ole määritetty oikein tai Web-palvelimesi on muutoin määritetty väärin, verkkosivusi saattaa päätyä näyttämään pelkkää tekstiä käsitellyn PHP-lähdön sijaan. se on vain muutama esimerkki. Ja aivan kuten se, että hänet syrjäytettiin lukion auditorion pep-rallin aikana, kestää vain sekunnin murto-osan ja ennen kuin saat takaisin alushousut takaisin, kun he ovat nähneet kaiken. Niin, he ovat nähneet kaiken.
Tässä groovyPost-ohjelmassa näytän sinulle, kuinka wp-config.php voidaan pitää suojattuna MySQL-tietokannan käyttäjänimillä ja salasanoilla (r). Vaikka mikään verkkosivusto tai blogi ei ole täysin hakkeroimaton, tämä nopea vinkki tekee WordPress-blogisi hakkeroinnista vaikeammalle mahdollisille tunkeilijoille kuin sivustolle, joka ei ole ottanut näitä varotoimia. Yleensä vain turvallisempi kuin naapurisi riittää estämään mahdollisten hakkereiden pyrkimykset muuhun kuin omaan sivustoosi. Muista, että jos olet koskaan metsässä joukon ihmisiä ja karhu ilmestyy, sinun ei tarvitse juosta karhua nopeammin, vain nopeammin kuin muut ihmiset. (ja kaikki leikkiä syrjään, Karhu-nuija on paras veto, jos olet koskaan todella tilanteessa)
Wp-config.php -tiedoston siirtäminen
Oikeilla tiedoston käyttöoikeuksilla ja oikein määritetyllä verkkopalvelimella wp-config.php -tiedoston pitäminen samassa julkisessa kansiossa kuin muu blogisi pitäisi olla täysin hieno. Mutta kun on kyse verkkosivustosi suojaamisesta, turvallisuus on sipuli (tai Ogre ilmeisesti); mitä enemmän kerroksia, sitä enemmän sinulla on.
WordPress-koodeksi vahvistaa tämän mielipiteen ja suosittelee, että siirrät wp-config.php: n pois oletusasennussijainnista. WordPress.org-isännöimien blogien avulla voit siirtää wp-config.php -sivustosi yhden tason ylöspäin blogisi juuresta. Se on kaikki hyvin, mutta useimmille verkkopalvelimille yksi taso ylöspäin blogisi juuresta on edelleen public_html-kansio. Sinun kannattaa laittaa se kansioon, joka ei ole public_html- tai WWW-kansion alihakemisto. Tällä tavoin mahdollisuudet, että joku saavuttaa sen verkkoselaimen tai muun HTTP-sovelluksen kautta, on käytännössä nolla.
Näin teet:
Vaihe 1
Siirry WordPress.org-sivustoosi FTP-ohjelman kautta ja siirry juurelle.
Vaihe 2
Lataa wp-config.php kiintolevyllesi.
Vaihe 3
Nimeä se uudeksi nimellä wp-config.php.
Tee siitä jotain järjetöntä, joten joku, joka kompastuu siihen (ehkä joku, joka on hakkeroinut jaettuun palvelimeen SSH: n kautta) ei ehkä tunnista sitä sellaisena kuin se on. Joten sen sijaan, että kutsuisit sitäoff-site-wordpress-config.php ” kutsu sitä ”futurama-fan-fic.php. ”
Vaihe 4
Lataa nimetty wp-config.php -tiedosto kansioon public_html- tai www-kansion yläpuolelle. Henkilökohtaisesti olen luonut kokonaisen hakemiston ulkopuolisille määritystiedostoille. Mutta on todennäköisesti turvallisempaa laittaa ne jonnekin satunnaisemmiksi.
Tärkeintä on sanoa se ulkopuolella sinun www tai public_html-kansioon.
Vaihe 5
Avaa muistilehtiö tai muu suosikki PHP-editori.
Luo uusi wp-config.php -tiedosto, joka sisältää vain seuraavan koodin:
sisältää (’/ home / usr / harrastukset / futurama-fan-fic.php’);
?>
Korvaa hakemisto tässä uudelleennimetyn wp-config.php -tiedoston palvelimen sijainnilla. Huomaa, että tämä ei ole URL-osoite, se on polku suhteessa palvelimesi sijaintiin. Joten tekemällä sen:
sisältää (’www.omaverkkotunnus.com/sijainti/futurama-fan-fic.php’);
ei toimi.
Kuten olet todennäköisesti kerännyt, se tulee olemaan luomaan ”pikakuvake”Todelliseen wp-config.php -tiedostoon. Joten jos joku hakkeroi wp-config.php -tiedostosi WordPress-hakemistossa, kaikki, mitä he löytävät, on tiedosto, joka osoittaa toiseen tiedostoon.
Hauskanpidon vuoksi haluat ehkä lisätä kommentin, joka kuuluu seuraavasti:
// Kiitos Mario! Mutta prinsessamme on toisessa linnassa!
Vaihe 6
Lataa uusi wp-config.php -tiedosto WordPress-juuriin. Korvaa vanha (varmuuskopioit sen ensin, eikö?).
Vaihe 7
Se siitä! Siirry WordPress.org-blogisi juurelle varmistaaksesi, että se toimi.
Jos saat virheen, joka lukee:
Varoitus: sisällytä (/www.omaverkkotunnus.com/sijainti/futurama-fan-fic.php ’) [function.include]: virran avaaminen epäonnistui: Ei sellaista tiedostoa tai hakemistoa/home/usr/public_html/blog.com/wp-config.php verkossa 2
Kohtalokas virhe: Kutsu määrittelemättömälle toiminnolle wp () sisään /wp-blog-header.php verkossa 14
Sitten se tarkoittaa, että kirjoitit palvelimen sijainnin väärin muokatussa wp-config.php-tiedostossa. Jos sinulla on vaikeuksia määrittää blogisi absoluuttinen polku, luo .php-tiedosto, jossa on seuraava koodi:
<?php echo $_SERVER[’DOCUMENT_ROOT’]; ?>
Tämä näyttää absoluuttisen polun mihin tahansa hakemistoon, jossa tiedosto on, ja valaisee myös, miten siirrytään public_html-kansion yläpuolelle.
Jos saat virheilmoituksen, joka lukee:
Ei näytä olevan
wp-config.phptiedosto. Tarvitsen tätä ennen kuin voimme aloittaa. Tarvitsetko lisää apua? Me saimme sen. Voit luodawp-config.phptiedosto web-käyttöliittymän kautta, mutta tämä ei toimi kaikissa palvelinasetuksissa. Turvallisin tapa on luoda tiedosto manuaalisesti.
Sitten se tarkoittaa, että WordPress.org-juuressa ei ole wp-config.php-tiedostoa. Tarkista uudelleen, että lähetit muokatun wp-config.php: n WordPress.org-juurelle tai sen yläpuolelle olevaan kansioon ja uudelleennimetyn wp-config.php -tiedoston toiseen sijaintiin pikemminkin päinvastoin.
Johtopäätös
Tekeekö wp-config.php: n siirtäminen blogistasi luodinkestävän? Ainakaan. Mutta se on vain yksi vaiheista, joita voit tehdä verkkosivustosi tai blogisi turvallisuuden parantamiseksi. Ja minulle se auttaa minua nukkumaan paremmin yöllä – aivan kuten ylimääräisen ketjun tai lukkorungon asettaminen ovelle.
Huomaa: Ennen kuin jatkat tiedostorakenteen kiertämistä, varmista, että varmuuskopioit asiat ja tunnet olosi mukavaksi tekemäsi kanssa. Voisit vakavasti sekoittaa WordPress-blogisi, jos poistat väärän asian. Sinua on varoitettu.