Pertama saya perhatikan bahwa jika saya pergi ke http://example.org/wp-config.php , itu memberi saya halaman kosong bukannya 404 kesalahan. Saya mengujinya dengan file lain - wp-config-example.php, dan memberi saya sebuah halaman dengan teks berikut: "Kesalahan membangun koneksi database". Jadi pasti hanya dieksekusi skrip php itu. Jika saya pergi ke http://example.org/wp-content/themes/TheFox/screenshot.png , apache2 melayani saya file itu.
Ini sepertinya sangat berbahaya bagi saya. Saya tidak tahu tentang itu selama beberapa waktu dan menyimpan cadangan .sql dari seluruh database wordpress di direktori wordpress - siapa pun bisa mengunduhnya.
Saya baru saja mengkonfigurasi apache2 dengan <Directory /path/to/wordpress/dir/, dan itu berhasil, jadi saya pikir semuanya dilakukan dengan benar, tetapi sekarang saya ragu.
Jawaban:
Anda benar bahwa siapa pun dapat mengunduh file cadangan Anda tetapi perilaku yang Anda uraikan adalah normal. Apache harus dapat "melihat" dan menyajikan file dalam WP agar WP berfungsi. Cara Anda memilikinya sudah benar untuk instalasi WP.
sumber