Kata sandi di wp-config. Berbahaya?

10

Saya belum tahu banyak tentang Wordpress, dan saya hanya ingin tahu:

Sebelum instalasi Anda harus mengisi data yang benar wp-config-sample.phptetapi ini juga termasuk kata sandi basis data. Bukankah itu berbahaya? Maksud saya, dapatkah seseorang menjelaskan bagaimana ini dilindungi dari hanya membaca file dan dengan demikian mendapatkan kata sandi DB Anda?

wp-config Bram Vanroy
sumber

Jawaban:

14

Halaman "Hardening WordPress" dari Codex berisi bagian tentang "Mengamankan wp-config.php" . Ini termasuk mengubah izin menjadi 440 atau 400. Anda juga dapat memindahkan file satu direktori wp-config dari root jika konfigurasi server Anda memungkinkan untuk itu.

Tentu saja ada beberapa bahaya memiliki file dengan kata sandi seperti ini jika seseorang mendapatkan akses ke server Anda, tetapi, jujur, pada saat itu mereka sudah ada di server Anda.

Akhirnya, Anda tidak punya banyak pilihan. Saya belum pernah melihat cara alternatif untuk mengkonfigurasi WordPress. Anda dapat menguncinya sebanyak yang Anda bisa, tetapi ini adalah bagaimana WordPress dibangun, dan jika itu merupakan ancaman keamanan yang serius , mereka tidak akan melakukannya dengan cara itu.

mrwweb
sumber
Terima kasih untuk tautannya! Saya dapat melihat banyak tindakan pengamanan di sana. Haruskah seseorang menerapkan semuanya? Atau bukankah semua itu benar-benar diperlukan?
Bram Vanroy
3
Saya tidak tahu bahwa seseorang bisa memiliki terlalu banyak keamanan yang diimplementasikan dengan baik.
mrwweb
1
@mrwweb +1 untuk diterapkan dengan baik *.
Richard
Apakah tidak mungkin untuk mengganti inisialisasi basis data dengan membuat file db.php dan menyetel $ wpdb di sana? Ini akan memotong nilai konfigurasi untuk kata sandi basis data.
Paul Keister
9

Untuk membuat kasus agar file konfigurasi Anda satu tingkat lebih tinggi dari root web (seperti yang disarankan mrwweb): beberapa bulan yang lalu, pembaruan otomatis pada server produksi kami membunuh php tetapi membiarkan apache tetap berjalan. Jadi setiap orang yang datang ke beranda ditawarkan index.php sebagai unduhan . Secara teori, siapa pun yang tahu itu adalah situs WordPress bisa meminta wp-config.php, dan mendapatkannya (seandainya itu berada di root web). Tentu saja, mereka hanya dapat menggunakan kredensial DB tersebut jika kita mengizinkan koneksi MySQL jarak jauh - tapi tetap saja, tidak keren. Saya menyadari ini adalah kasus pinggiran, tetapi sangat mudah untuk menjaga konfigurasi Anda tidak terlihat, mengapa tidak melakukannya?

MathSmath
sumber
2

Kecuali seseorang memiliki akses melalui FTP, Anda tidak perlu khawatir tentang ini. PHP diberikan di server sebelum mengenai browser pengguna.

Simon
sumber
2

Berikut tip lain: lindungi wp-config.php (dan file sensitif lainnya) dengan .htaccess

Tambahkan berikut ini ke file .htaccess di direktori situs Anda di mana semua file WordPress lainnya berada:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

dari Cara mengeraskan instalasi WordPress Anda

Nick
sumber
0

Jika seseorang memiliki akses untuk membaca konten file Php Anda, Anda telah diretas.

Otto
sumber
1
atau konfigurasi server web benar-benar hancur sampai-sampai hanya melayani file .php sebagai teks ;-)
KJH