Harden WordPress Security durch Verschieben von wp-config.php in einen nicht-öffentlichen Ordner

Falls Sie noch nicht bekannt sind, lassen Sie mich Ihre Datei wp-config.php vorstellen . Wenn Sie einen selbst gehosteten WordPress.org-Blog betreiben, enthält Ihre wp-config.php Ihren MySQL-Datenbank-Benutzernamen, Ihr MySQL-Datenbank-Passwort, Ihre WordPress-Authentifizierungsschlüssel und andere vertrauliche Informationen. Mit diesen Informationen erhält ein Hacker oder Script-Kiddie Zugriff auf alle Inhalte in Ihrem WordPress-Blog. So können Sie Ihre Posts löschen, bösartigen Code einfügen, auf illegale Pornoseiten verlinken oder was immer Sie wollen.

Standardmäßig befindet sich wp-config.php im selben Ordner wie Ihr WordPress Blog. Wenn sich also die Startseite Ihres Blogs auf mysite.com/blog befindet, ist dies auch Ihre wp-config.php. Das ist nicht so leichtsinnig wie es scheint, da .php Dateien serverseitige Skripte sind, die vom Server verarbeitet werden. Wenn Sie sich eine .php-Datei ansehen, betrachten Sie tatsächlich die Ausgabe der Datei. Das gleiche gilt für die Anzeige der Quelle. Die einzige Möglichkeit, den Rohcode einer .php-Datei herunterzuladen, ist über FTP.

Aber nur weil Sie normalerweise nicht auf eine .php-Datei zugreifen können, bedeutet das nicht, dass Sie immer sicher sind ...

Unfälle passieren und Sicherheitslücken bestehen. Wenn die PHP-Konfiguration Ihres Webservers ausfällt, Ihre MIME-Typen nicht korrekt eingerichtet sind oder Ihr Webserver anderweitig falsch konfiguriert ist, könnte Ihre Webseite am Ende reinen Text anstelle von verarbeiteter PHP-Ausgabe liefern; Das sind nur ein paar Beispiele. Und genau wie bei einer Aufmunternation in der Aula der Highschool, dauert es nur einen Bruchteil einer Sekunde und bevor Sie Ihre Schlüpfer wiederbekommen können, haben sie alles gesehen. Ja, sie haben alles gesehen.

In diesem zeige ich dir, wie du deine wp-config.php mit deinen Benutzernamen und Passwörtern sicher verwahrst (r). Obwohl keine Website oder kein Blog zu 100% nicht hackbar ist, macht dieser kurze Tipp das Hacken Ihres WordPress-Blogs für potenzielle Eindringlinge schwieriger als eine Website, die diese Vorsichtsmaßnahmen nicht getroffen hat. Gewöhnlich reicht es nur aus, sicherer zu sein als der Nachbar, um die Bemühungen eines Möchtegern-Hackers auf eine andere Seite als die eigene abzuschrecken. Denken Sie daran, wenn Sie jemals mit einer Gruppe von Menschen im Wald sind und ein Bär auftaucht - Sie müssen nicht schneller als der Bär rennen, nur schneller als die anderen Leute. ( und Spaß beiseite, Bear Muskatblüte ist Ihre beste Wette, wenn Sie jemals wirklich in dieser Situation sind )

Verschieben Sie Ihre wp-config.php Datei

Mit den richtigen Dateiberechtigungen und einem korrekt konfigurierten Webserver sollte die Datei wp-config.php im selben öffentlichen Ordner wie der Rest Ihres Blogs gespeichert werden. Aber wenn es um den Schutz Ihrer Website geht, ist Sicherheit eine Zwiebel ( oder Ogre anscheinend); Je mehr Schichten, desto mehr davon hast du.

Der WordPress-Codex bestätigt dieses Gefühl und empfiehlt, dass Sie Ihre wp-config.php von ihrem Standard-Installationsort wegbewegen. Mit den selbst gehosteten Blogs von WordPress.org können Sie Ihre wp-config.php um eine Ebene vom Stammverzeichnis Ihres Blogs nach oben verschieben. Das ist alles gut und gut, aber für die meisten Webserver ist eine Ebene höher als Ihr Blog-Root immer noch ein public_html-Ordner. Sie sollten es am besten in einen Ordner stellen, der kein Unterverzeichnis Ihres public_html- oder WWW-Ordners ist. Auf diese Weise ist die Wahrscheinlichkeit, dass jemand sie über einen Webbrowser oder eine andere HTTP-Anwendung erreicht, praktisch gleich Null.

Hier ist was du tust:

Schritt 1

Greifen Sie über ein FTP-Programm auf Ihre WordPress.org-Seite zu und navigieren Sie zum Root.

Schritt 2

Laden Sie wp-config.php auf Ihre Festplatte herunter.

Schritt 3

Benenne es in etwas anderes als wp-config.php um.

Machen Sie es etwas unsinnig, damit jemand, der darüber stolpert ( vielleicht jemand, der sich mit SSH in Ihren Shared Server gehackt hat) es möglicherweise nicht als das erkennt, was es ist. Anstatt es " off-site-wordpress-config.php" zu nennen, nenne es " futurama-fan-fic.php ".

Schritt 4

Laden Sie Ihre umbenannte Datei wp-config.php in einen Ordner über Ihrem public_html- oder www-Ordner hoch. Persönlich habe ich ein komplettes Verzeichnis für externe Konfigurationsdateien erstellt. Aber es ist wahrscheinlich sicherer, sie zufälliger zu platzieren.

Das Wichtigste ist, es außerhalb Ihres WWW- oder public_html-Ordners zu platzieren.

Schritt 5

Öffnen Sie den Editor oder Ihren anderen bevorzugten PHP-Editor.

Erstellen Sie eine neue wp-config.php-Datei, die nur den folgenden Code enthält:

include ('/ home / usr / hobby / futurama-fan-fic.php');
?>

Ersetzen Sie das Verzeichnis hier durch den Serverstandort Ihrer umbenannten Datei wp-config.php. Beachten Sie, dass dies keine URL ist, sondern ein Pfad relativ zum Serverstandort. Also, mach es:

Include ('www.yourdomain.com/location/futurama-fan-fic.php');

wird nicht funktionieren.

Wie Sie wahrscheinlich schon erfahren haben, wird eine " Verknüpfung " zu Ihrer tatsächlichen wp-config.php-Datei erstellt. Also, wenn jemand Ihre wp-config.php-Datei in Ihrem WordPress-Verzeichnis hackt, werden sie nur eine Datei finden, die auf eine andere Datei verweist.

Zum Spaß möchten Sie vielleicht einen Kommentar hinzufügen, der lautet:

// Danke, Mario! Aber unsere Prinzessin ist in einem anderen Schloss!

Schritt 6

Laden Sie Ihre neue wp-config.php-Datei in Ihren WordPress-Root hoch. Überschreibe das alte ( du hast es vorher gesichert, oder? ).

Schritt 7

Das ist es! Navigieren Sie zu Ihrem WordPress.org-Blogstamm, um sicherzustellen, dass es funktioniert.

Wenn Sie eine Fehlermeldung erhalten, die lautet:

Warnung : include (/www.ihredomain.com/location/futurama-fan-fic.php ') [function.include]: Fehler beim Öffnen des Streams: Keine solche Datei oder kein Verzeichnis in /home/usr/public_html/blog.com/ wp-config.php in Zeile 2

Schwerwiegender Fehler : Aufruf von undefinierter Funktion wp () in /wp-blog-header.php in Zeile 14

Dann bedeutet das, dass Sie den Serverstandort in Ihrer modifizierten wp-config.php Datei falsch eingegeben haben. Wenn Sie den absoluten Pfad Ihres Blogs nicht ermitteln können, erstellen Sie eine .php-Datei mit dem folgenden Code:

Dies zeigt Ihnen den absoluten Pfad für das Verzeichnis, in dem sich die Datei befindet und beleuchtet auch, wie Sie sich über den Ordner public_html bewegen.

Wenn Sie eine Fehlermeldung erhalten, die lautet:

Es scheint keine wp-config.php Datei zu geben. Ich brauche das, bevor wir anfangen können. Benötigen Sie weitere Hilfe? Wir haben es. Sie können eine wp-config.php Datei über eine Webschnittstelle erstellen, dies funktioniert jedoch nicht für alle Server-Setups. Am sichersten ist es, die Datei manuell zu erstellen.

Dann bedeutet das, dass es keine wp-config.php-Datei in Ihrem WordPress.org-Wurzelverzeichnis gibt. Überprüfen Sie, ob Sie die modifizierte wp-config.php in Ihren WordPress.org-Stammordner oder den darüber liegenden Ordner und die umbenannte wp-config.php-Datei an einen anderen Speicherort hochgeladen haben und nicht umgekehrt.

Fazit

Verschieben Sie Ihre wp-config.php Ihren Blog kugelsicher machen? Sicherlich nicht. Aber es ist nur einer der Schritte, die Sie unternehmen können, um Ihre Website oder Ihr Blog sicherer zu machen. Und für mich hilft es mir nachts besser zu schlafen - so wie eine zusätzliche Kette oder ein Riegel an der Türe.

Hinweis: Bevor Sie Ihre Dateistruktur durchforsten, stellen Sie sicher, dass Sie die Dinge aufheben und sich wohl fühlen mit dem, was Sie tun. Du könntest deinen WordPress Blog ernsthaft vermasseln, wenn du das falsche Ding löschst. Du wurdest gewarnt.