मैं अभी तक बहुत सारे वर्डप्रेस नहीं जानता, और मैं सोच रहा हूँ:
स्थापना से पहले आपको सही डेटा भरना होगा wp-config-sample.phpलेकिन इसमें डेटाबेस पासवर्ड भी शामिल है। क्या यह खतरनाक नहीं है? मेरा मतलब है, क्या कोई समझा सकता है कि यह सिर्फ फ़ाइल पढ़ने से सुरक्षित है और इस प्रकार आपके डीबी का पासवर्ड प्राप्त करना है?
जवाबों:
कोडेक्स के "हार्डिंग वर्डप्रेस" पृष्ठ में "सुरक्षित wp-config.php" पर एक अनुभाग है । इसमें अनुमतियों को 440 या 400 में बदलना शामिल है। यदि आपका सर्वर कॉन्फ़िगरेशन इसके लिए अनुमति देता है, तो आप wp-config फ़ाइल को एक निर्देशिका रूट से ऊपर ले जा सकते हैं।
बेशक पासवर्ड के साथ एक फ़ाइल होने का कुछ खतरा है जैसे कि अगर किसी को आपके सर्वर तक पहुंच मिलती है, लेकिन, ईमानदारी से, उस बिंदु पर वे पहले से ही आपके सर्वर में हैं।
अंत में, आपके पास ज्यादा विकल्प नहीं हैं। मैंने वर्डप्रेस को कॉन्फ़िगर करने का एक वैकल्पिक साधन कभी नहीं देखा है। जितना हो सके आप इसे लॉक कर सकते हैं, लेकिन यह है कि वर्डप्रेस कैसे बनाया जाता है, और यदि यह एक गंभीर सुरक्षा खतरा था, तो वे इसे इस तरह नहीं करेंगे।
अपने कॉन्फिग फाइल को वेब रूट से एक स्तर ऊपर रखने के लिए एक केस बनाने के लिए (जैसा कि mrwweb ने सुझाव दिया है): कुछ महीने पहले, हमारे उत्पादन सर्वर पर एक स्वचालित अपडेट ने php को मार दिया लेकिन अपाचे को छोड़ दिया। इसलिए होमपेज पर आने वाले हर व्यक्ति को डाउनलोड के रूप में index.php की पेशकश की जा रही थी । सिद्धांत रूप में, जो कोई भी जानता था कि यह एक वर्डप्रेस साइट है वह wp-config.php का अनुरोध कर सकता है, और इसे प्राप्त कर सकता है (यह वेब रूट में था)। बेशक, वे केवल उन DB क्रेडेंशियल्स का उपयोग करने में सक्षम होंगे यदि हमने रिमोट MySQL कनेक्शन की अनुमति दी थी - लेकिन फिर भी, शांत नहीं। मुझे लगता है कि यह एक फ्रिंज मामला है, लेकिन अपने विन्यास को दृष्टि से रखना इतना आसान है, ऐसा क्यों नहीं करते?
यहां एक और टिप दी गई है: .htaccess के साथ wp-config.php (और किसी भी अन्य संवेदनशील फाइल) को सुरक्षित रखें
निम्नलिखित को अपनी साइट की निर्देशिका में .htaccess फ़ाइल में जोड़ें जहाँ अन्य सभी WordPress फाइलें स्थित हैं:
<Files wp-config.php>
order allow,deny
deny from all
</Files>