Wp-config में पासवर्ड। खतरनाक?


10

मैं अभी तक बहुत सारे वर्डप्रेस नहीं जानता, और मैं सोच रहा हूँ:

स्थापना से पहले आपको सही डेटा भरना होगा wp-config-sample.phpलेकिन इसमें डेटाबेस पासवर्ड भी शामिल है। क्या यह खतरनाक नहीं है? मेरा मतलब है, क्या कोई समझा सकता है कि यह सिर्फ फ़ाइल पढ़ने से सुरक्षित है और इस प्रकार आपके डीबी का पासवर्ड प्राप्त करना है?

जवाबों:


14

कोडेक्स के "हार्डिंग वर्डप्रेस" पृष्ठ में "सुरक्षित wp-config.php" पर एक अनुभाग है । इसमें अनुमतियों को 440 या 400 में बदलना शामिल है। यदि आपका सर्वर कॉन्फ़िगरेशन इसके लिए अनुमति देता है, तो आप wp-config फ़ाइल को एक निर्देशिका रूट से ऊपर ले जा सकते हैं।

बेशक पासवर्ड के साथ एक फ़ाइल होने का कुछ खतरा है जैसे कि अगर किसी को आपके सर्वर तक पहुंच मिलती है, लेकिन, ईमानदारी से, उस बिंदु पर वे पहले से ही आपके सर्वर में हैं।

अंत में, आपके पास ज्यादा विकल्प नहीं हैं। मैंने वर्डप्रेस को कॉन्फ़िगर करने का एक वैकल्पिक साधन कभी नहीं देखा है। जितना हो सके आप इसे लॉक कर सकते हैं, लेकिन यह है कि वर्डप्रेस कैसे बनाया जाता है, और यदि यह एक गंभीर सुरक्षा खतरा था, तो वे इसे इस तरह नहीं करेंगे।


उस लिंक के लिए धन्यवाद! मैं वहां सुरक्षा संबंधी कई सावधानियां देख सकता हूं। क्या उन सभी को लागू करना चाहिए? या वास्तव में आवश्यक कुछ भी नहीं है?
ब्रैम वनरॉय

3
मैं नहीं जानता कि कभी भी बहुत ज्यादा [अच्छी तरह से लागू] सुरक्षा हो सकती है।
mrwweb

1
@mrwweb +1 अच्छी तरह से कार्यान्वित * के लिए।
रिचर्ड

क्या db.php फ़ाइल बनाकर और $ wpdb को सेट करके डेटाबेस इनिशियलाइज़ेशन को ओवरराइड करना संभव नहीं है? यह डेटाबेस पासवर्ड के लिए कॉन्फ़िगरेशन मान को बायपास करेगा।
पॉल केस्टर

9

अपने कॉन्फिग फाइल को वेब रूट से एक स्तर ऊपर रखने के लिए एक केस बनाने के लिए (जैसा कि mrwweb ने सुझाव दिया है): कुछ महीने पहले, हमारे उत्पादन सर्वर पर एक स्वचालित अपडेट ने php को मार दिया लेकिन अपाचे को छोड़ दिया। इसलिए होमपेज पर आने वाले हर व्यक्ति को डाउनलोड के रूप में index.php की पेशकश की जा रही थी । सिद्धांत रूप में, जो कोई भी जानता था कि यह एक वर्डप्रेस साइट है वह wp-config.php का अनुरोध कर सकता है, और इसे प्राप्त कर सकता है (यह वेब रूट में था)। बेशक, वे केवल उन DB क्रेडेंशियल्स का उपयोग करने में सक्षम होंगे यदि हमने रिमोट MySQL कनेक्शन की अनुमति दी थी - लेकिन फिर भी, शांत नहीं। मुझे लगता है कि यह एक फ्रिंज मामला है, लेकिन अपने विन्यास को दृष्टि से रखना इतना आसान है, ऐसा क्यों नहीं करते?


2

जब तक किसी का FTP के माध्यम से उपयोग नहीं होता है, आपको इसके बारे में चिंता करने की आवश्यकता नहीं है। उपयोगकर्ताओं के ब्राउज़र को हिट करने से पहले PHP को सर्वर पर प्रदान किया जाता है।


2

यहां एक और टिप दी गई है: .htaccess के साथ wp-config.php (और किसी भी अन्य संवेदनशील फाइल) को सुरक्षित रखें

निम्नलिखित को अपनी साइट की निर्देशिका में .htaccess फ़ाइल में जोड़ें जहाँ अन्य सभी WordPress फाइलें स्थित हैं:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

से कैसे अपने WordPress स्थापना कठोर


0

यदि किसी के पास आपकी Php फ़ाइलों की सामग्री को पढ़ने की सुविधा है, तो आपको पहले ही हैक कर लिया गया है।


1
या वेब सर्वर के विन्यास को गंभीरता से केवल सेवा करने के बिंदु
तक पहुंच
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.