Password in wp-config. Pericoloso?

10

Non conosco ancora molto Wordpress e mi sto solo chiedendo:

Prima dell'installazione è necessario inserire i dati corretti wp-config-sample.phpma questo include anche la password del database. Non è pericoloso? Voglio dire, qualcuno può spiegare come questo è protetto dalla sola lettura del file e quindi ottenere la password del tuo DB?

wp-config 
Bram Vanroy
fonte

Risposte:

14

La pagina "Hardening WordPress" del Codice contiene una sezione su "Protezione di wp-config.php" . Include la modifica delle autorizzazioni su 440 o 400. È anche possibile spostare il file wp-config di una directory dalla radice se la configurazione del server lo consente.

Naturalmente c'è il pericolo di avere un file con la password come questo se qualcuno accede al tuo server, ma, onestamente, a quel punto si trovano già sul tuo server.

Infine, non hai molta scelta. Non ho mai visto un modo alternativo di configurare WordPress. Puoi bloccarlo il più possibile, ma è così che WordPress è costruito e se fosse una seria minaccia alla sicurezza, non lo farebbero in questo modo.

mrwweb
fonte
Grazie per quel link! Posso vedere molte precauzioni di sicurezza lì. Si dovrebbero applicare tutti loro? O qualcosa del genere non è davvero necessario?
Bram Vanroy,
3
Non so che si possa mai avere troppa sicurezza [ben implementata].
mrwweb,
1
@mrwweb +1 per ben implementato *.
Richard,
Non è possibile ignorare l'inizializzazione del database creando un file db.php e impostando $ wpdb lì? Ciò aggirerebbe il valore di configurazione per la password del database.
Paul Keister,
9

Per fare un caso per mantenere il tuo file di configurazione a un livello superiore dalla radice web (come suggerito mrwweb): qualche mese fa, un aggiornamento automatico su un nostro server di produzione ha ucciso php ma ha lasciato apache in esecuzione. Quindi a tutti quelli che arrivavano alla homepage veniva offerto index.php come download . In teoria, chiunque sapesse che si trattava di un sito WordPress avrebbe potuto richiedere wp-config.php e averlo ottenuto (se fosse stato nella radice del web). Ovviamente, sarebbero in grado di utilizzare quelle credenziali DB solo se consentissimo connessioni remote MySQL - ma comunque, non è interessante. Mi rendo conto che questo è un caso marginale, ma è così facile tenere lontana la tua configurazione, perché non farlo?

MathSmath
fonte
2

A meno che qualcuno non abbia accesso tramite FTP, non devi preoccuparti di questo. PHP viene visualizzato sul server prima che colpisca il browser degli utenti.

Simon
fonte
2

Ecco un altro suggerimento: proteggi wp-config.php (e qualsiasi altro file sensibile) con .htaccess

Aggiungi quanto segue a un file .htaccess nella directory del tuo sito in cui si trovano tutti gli altri file WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

da Come rafforzare la tua installazione di WordPress

tacca
fonte
0

Se qualcuno ha accesso a leggere il contenuto dei tuoi file Php, sei già stato violato.

Otto
fonte
1
o la configurazione del web server è stata seriamente corrotta al punto da servire solo i file .php come testo ;-)
KJH
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.