Todavía no conozco mucho Wordpress, y me pregunto:
Antes de la instalación, debe completar los datos correctos, wp-config-sample.phppero esto también incluye la contraseña de la base de datos. ¿No es eso peligroso? Quiero decir, ¿alguien puede explicar cómo se protege esto de solo leer el archivo y así obtener la contraseña de su DB?
La página "Endurecimiento de WordPress" del Codex contiene una sección sobre "Protección de wp-config.php" . Incluye cambiar los permisos a 440 o 400. También puede mover el archivo wp-config un directorio hacia arriba desde la raíz si la configuración de su servidor lo permite.
Por supuesto, existe algún peligro de tener un archivo con la contraseña como esta si alguien tiene acceso a su servidor, pero, sinceramente, en ese momento ya están en su servidor.
Finalmente, no tienes muchas opciones. Nunca he visto un medio alternativo para configurar WordPress. Puede bloquearlo tanto como pueda, pero así es como se construye WordPress, y si fuera una amenaza de seguridad grave , no lo harían de esa manera.
Gracias por ese enlace! Puedo ver muchas precauciones de seguridad allí. ¿Debería uno aplicarlos todos? ¿O no es nada de eso realmente necesario?
Bram Vanroy
3
No sé si uno puede tener demasiada seguridad [bien implementada].
mrwweb
1
@mrwweb +1 para bien implementado *.
Richard
¿No es posible anular la inicialización de la base de datos creando un archivo db.php y configurando $ wpdb allí? Esto pasaría por alto el valor de configuración para la contraseña de la base de datos.
Paul Keister el
9
Para defender el mantenimiento de su archivo de configuración un nivel desde la raíz web (como sugirió mrwweb): hace unos meses, una actualización automática en un servidor de producción nuestro mató php pero dejó apache ejecutándose. Así que a todos los que visitaban la página de inicio se les ofrecía index.php como descarga . En teoría, cualquiera que supiera que era un sitio de WordPress podría haber solicitado wp-config.php y obtenerlo (si hubiera estado en la raíz web). Por supuesto, solo podrían usar esas credenciales de base de datos si permitiéramos conexiones MySQL remotas, pero aún así, no es genial. Me doy cuenta de que este es un caso marginal, pero es tan fácil mantener su configuración fuera de la vista, ¿por qué no hacerlo?
A menos que alguien tenga acceso a través de FTP, no necesita preocuparse por esto. PHP se procesa en el servidor antes de que llegue al navegador del usuario.
Para defender el mantenimiento de su archivo de configuración un nivel desde la raíz web (como sugirió mrwweb): hace unos meses, una actualización automática en un servidor de producción nuestro mató php pero dejó apache ejecutándose. Así que a todos los que visitaban la página de inicio se les ofrecía index.php como descarga . En teoría, cualquiera que supiera que era un sitio de WordPress podría haber solicitado wp-config.php y obtenerlo (si hubiera estado en la raíz web). Por supuesto, solo podrían usar esas credenciales de base de datos si permitiéramos conexiones MySQL remotas, pero aún así, no es genial. Me doy cuenta de que este es un caso marginal, pero es tan fácil mantener su configuración fuera de la vista, ¿por qué no hacerlo?
fuente
A menos que alguien tenga acceso a través de FTP, no necesita preocuparse por esto. PHP se procesa en el servidor antes de que llegue al navegador del usuario.
fuente
Aquí hay otro consejo: proteja wp-config.php (y cualquier otro archivo sensible) con .htaccess
Agregue lo siguiente a un archivo .htaccess en el directorio de su sitio donde se encuentran todos los demás archivos de WordPress:
de Cómo fortalecer su instalación de WordPress
fuente
Si alguien tiene acceso para leer el contenido de sus archivos Php, ya ha sido pirateado.
fuente