home iconHome / wordpress / Spostare wp-config al di fuori della radice Web è davvero vantaggioso?

Spostare wp-config al di fuori della radice Web è davvero vantaggioso?

    • vote up icon 140 vote down icon
    • translation icon
    • view icon59805 calendar icon2012-07-13

    Una dellemiglioripratiche di sicurezzapiù comuniin questigiorni sembraessere spostare wp-config.php una directorypiù alta della root del documento del vhost . Non homaitrovato unabuona spiegazioneper questo,mapresumo che siaper ridurre alminimoil rischio che uno script dannoso oinfetto all'interno della webroot legga lapassword del database.

    Tuttavia,devi comunque consentire a WordPress di accedervi,quindi deviespandere open_basedirperincludere la directory sopra la root del documento. Questonon vanifica semplicemente l'intero scopoe potenzialmenteespone anchei log del server,i backup,ecc. Agli aggressori?

    Oppure latecnica sta solo cercando diprevenire una situazionein cui wp-config.php verrebbemostrato cometestonormale a chiunque richieda http://example.com/wp-config.php,invece diessere analizzato dalmotore PHP? Sembra uneventomolto raroe non supererebbegli svantaggi dell'esposizione di log/backup/ecc. Alle richieste HTTP.

    Forse èpossibile spostarlofuori dalla root del documentoin alcune configurazioni di hosting senzaesporre altrifile,manonin altre configurazioni?

    Conclusione: Dopo un sacco di avantie indietro su questotema,sonoemerse due risposte che secondome dovrebberoessere considerate autorevoli. Aaron Adams è unbuon argomentoin favore di spostare wp-confige chrisguitarguyfa unbuon causa contro diessa . Queste sono le due risposte che dovresti leggere se seinuovonelthreade non vuoi leggere l'intera cosa. Le altre risposte sono ridondanti oimprecise.

    security customization wp-config
    • Non è davveronecessarioinserire latua scelta di rispostee rifiutaretutte le altre risposte,all'interno dellatua domanda.Comepuoi vedere sotto,è a questo che serveil sistema di votazione stackexchange,per votare le risposte che hanno sensoper lepersone,mentre chipone le domande dovrebbe usareilmeccanismo della "risposta accettata"ei tuoi voti su/giù.
    • Non lofaccioperil 99% delle domande che hoposto,ma hopensato chefosse appropriatoin questo caso specifico.Ci sono 8 risposte alla domanda,alcune delle quali sono abbastanza lunghe/complessee alcune delle quali hannomolti votipositivinonostante contenganoinformazioniimprecise onon aggiunganonulla alla conversazione.Penso che offrire una conclusione semi-autorevole sia utileper lepersone che leggonoilthreadper laprima volta.Come sempre,i lettori sono liberi diprendere una decisione;Sto solo offrendo lamia opinione come OP.
    • @Kzqai: Lo "stackexchange voting system" è unprocesso democratico,e ipartecipanti spesso 1)non sono chiari su ciò che l'OP staeffettivamente chiedendo o cercando di risolveree 2)non capiscono la validità di una rispostaparticolare.Dopo che le risposte sono arrivatee i voti sono statiespressi,è **più che utile ** cheil PO chiarisca quelle risposte che hannofornito assistenza.Dopotutto,l'OP è l'unico che lo sa,e vorrei chepiù OP lofacessero.Sì,lepersone "votano le risposte che hanno sensoper lepersone",ma lasciamo che l'OP abbia l'ultimaparola su ciò che ha sensoper lui.

8  risposta

  • voti
    • translation icon
    • calendar icon 2012-07-18

    La cosapiùimportante è che wp-config.php contiene alcuneinformazioni sensibili:nome utente/password del database,ecc.

    Quindi l'idea: spostalofuori dalla root del documentoe non devipreoccuparti dinulla. Un utentemalintenzionatonon saràmaiin grado di accedere a quelfile da unafonteesterna.

    Tuttavia,eccoilproblema: wp-config.phpnon stampamainulla sullo schermo. Definisce solo varie costanti utilizzate durante l'installazione di WP. Quindi l'unicomodoin cui qualcuno vedràil contenuto di quelfile è se aggirano l'interprete PHP deltuo server - ottengonoilfile .php da visualizzare come solotesto. Se ciò accade,seigiànei guai: hanno accesso diretto altuo server (eprobabilmentei permessi di root)e possonofare quello che vogliono.

    Vado avantie dico che non c'è alcun vantaggionello spostare wp-config al difuori della root del documento da unaprospettiva di sicurezza ,peri motivi soprae questi :

    1. Puoi limitare l'accesso alfiletramite la configurazione deltuo host virtuale o .htaccess,limitandoin modoefficace l'accessoesterno alfilenello stessomodoin cui lofarebbe spostarsi al difuori della radice del documento
    2. Puoi assicurarti chei permessi delfile siano rigorosi su wp-configperimpedire a qualsiasi utente senzaprivilegi sufficienti di leggereilfile anche se ottiene un accesso (limitato) altuo servertramite SSH.
    3. Letueinformazioni sensibili,leimpostazioni del database,vengono utilizzate solo su un singolo sito. Quindi,anche se un utentemalintenzionato avesse accesso ataliinformazioni,l'unico sito cheinteresserebbe sarebbe l'installazione di WordPress a cui appartieneilfile wp-config.php. Ancorapiùimportante,quell'utente del database ha solo le autorizzazioniper leggeree scrivere sul database dell'installazione di WPe nient'altro,nessun accessoper concedere le autorizzazioni ad altri utenti. In altreparole,se un utentemalintenzionato ottiene l'accesso altuo database,sitratta semplicemente di ripristinare da unbackup (vedipunto 4)e cambiare l'utente del database
    4. Esegui spessoilbackup. Spesso è untermine relativo: sepubblichi 20 articoli ognigiorno,farestimeglio aeseguireilbackup ognigiorno o ognipochigiorni. Sepubblichi una volta alla settimana,probabilmente è sufficienteeseguireilbackup una volta alla settimana.
    5. Haiiltuo sito sottoil controllo della versione ( come questo ),il che significa che anche se un utentemalintenzionato ha ottenuto l'accesso,puoi rilevarefacilmente lemodifiche al codicee ripristinarle. Se un utentemalintenzionato ha accesso a wp-config,probabilmente ha combinato qualcos'altro.
    6. Leinformazioni del database sono davvero le uniche cose sensibiliin wp-config,e poiché stai attento a questo (vedipunti 3e 4),non è ungrossoproblema. I salie similipossonoesseremodificatiin qualsiasimomento. L'unica cosa che accade è cheinvalidai cookie degli utenti registrati.

    Perme,spostare wp-configfuori dalla radice del documentopuzza di sicurezzaper oscurità,il che è davvero un uomo dipaglia.

    • Sì,èpiù omeno quello che stavopensando.Sono contento di sapere chenon sono l'unico :) Vorrei lasciare la domanda apertaper un altrogiorno o duenel caso qualcuno avesse una controargomentazione convincente,mafinora questa sembra la rispostagiusta ame.
    • Correzioneminore:non c'è alcun vantaggio di * sicurezza *nello spostareilfile wp-config.php dalla radice del documento.Ci sono altri vantaggi,chenon sono legati alla sicurezzae che si applicano solo a configurazioniinsolite.
    • Ottima scelta. Modificato.
    • Soloper sfatare unpossibilemito -non èpossibile,qualcosapotrebbe andare storto sul lato server -nel qual casoil codicephp viene stampato sullo schermo?
    • Sicuro.Semod_phpnonfunzionava oi file PHPnon vengonopassati all'interprete PHP,èpossibile.Se staieseguendo una configurazione FCGI,la stessa cosa èpossibile sei file PHPnon vengonotrasferiti alprocessofcgiper l'interpretazione.Entrambiindicano alcuniproblemipiuttostograndi chenon èprobabile che accadano,tuttavia.
    • Penso che la domandaprincipale quinon sia se ci sia omeno qualche vantaggionello spostarlo,ma setali vantaggi superano omenoil rischio diespandere l'ambito openbase_dirperincludere la directorypadre,che spesso contienefile di registro,backup,unfileprivatodirectory di archiviazione,ecc. Continuo a chiedere a riguardo,e nessuno dei sostenitori dello spostamento di wp-configmi hamai dato una risposta.Quindi,a questopuntoprendoil loro silenzioper significare chei beneficinon valgonoil rischio.
    • @IanDunn Ma lemigliori risposte sostengono di spostarlo completamente da quellagerarchiain una separata,che risolva latuapreoccupazioneperi logecc. Questa rispostanon risponde altitolo dellatua domanda "si stamuovendo ... davvero vantaggioso",dice soloaltremisure di sicurezza sono utilie cerca di rassicurartipernonpreoccuparti della sicurezza.Tuttipensano che la loro casa sia sicurafino a quandonon vengono svaligiati.Dopo di chefanno un lavoromigliore.Alcunepersonenon vengonomai svaligiate,anche se la loro sicurezza èbassa,ma ciònon significa che sia unbuon consiglio avere una sicurezzainferiore.
    • AFAIK,non èpossibile spostarlo danessunapartetranne una directory sopra ABSPATH,perché è l'unicaposizionein cui WP lo cercherà.
    • Nonimporta,Aaron ha aggiornato la sua risposta con una soluzione alternativa,utilizzando unfilefittizio wp-config.phpperincludere () quello vero.
    • Questi sonobuonipunti,mailmioproblemapiùgrande con questi è che sono argomenti riparatori,non argomentipreventivi.Lamaggiorparte di questiparla di comenon sia ungrossoproblemaperché A)presumi che qualcuno abbiagestito correttamente l'utente dbe B) hai deibackup.Cosa succede quando utilizzi qualcosa come woocommerce omemorizziinformazioni sensibilineltuo database?Allora seifottuto.
    • translation icon
    • calendar icon 2012-07-13

    Penso che quella di Max sia una risposta consapevole,e questo è un lato della storia.Il WordPress Codex hapiù consigli :

    Inoltre,assicurati che solotu (eil server web)possiate leggere questofile (generalmente significa unpermesso 400 o 440).

    Se usi un server con .htaccess,puoimetterloin quelfile (in in alto)pernegare l'accesso a chiunque lonavighi: 

      & lt;file wp-config.php >
ordine consentire,negare
negato datutti
& lt;/files >

    Nota che l'impostazione dell'autorizzazione 400 o 440 su wp-config.phppotrebbeimpedire aiplugin di scriverlo omodificarlo.Un caso autentico,adesempio,sarebbe lamemorizzazionenella cache deiplug-in (W3 Total Cache,WP Super Cache,ecc.) Intal caso,sceglierei 600 (l'autorizzazionepredefinitaperi filein /home/user directory).

    • Max è la risposta.+1 a lui.Sto semplicemente cercando diestenderlo.
    • Aahan Krish,hai colpitonel segno.Grazieper l'aggiunta.
    • Quindi,se usi htaccesspernegare le richieste HTTP a wp-config.php,non si ottiene lo stesso risultato di spostarlofuori dalla root del documento,ma senzaesporre log/backup/ecc.?
    • @IanDunn Dipende da quale sia la root del documento— ** (1) ** Se wordpress è ospitatoin una directoryin `public_html`,spostare` wp-config.php`fuori dalla directory significa che saràin `public_html`directory.In questo caso,dovrai usare le regole htaccesspernegare le richieste HTTP a wp-config.php.** (2) ** Se WordPress èinstallato direttamentenella directory `public_html`,un livello superiore=> lo sposterainella directory`/home/user`.In questo caso sei abbastanza sicuropoichéilfile è al difuori della radice del documento.È ancorapossibileimpostare le autorizzazioni delfile su 600 (o anche su 440 o 400più rigorosi).
    • @ IanDunn Come ho detto,questa è lamia comprensione dibasee non sono unesperto di sicurezza.:)
    • Nel cason. 1non si ottieneil vantaggio di sicurezzaprevisto.Ilpunto è spostarlofuori dalla radice del documento,non solo su di un livello.
    • Nel caso # 2,dovrestiespandere l'ambito `open_basedir`per consentire a PHP di accedere atuttoin/home/user,il chemi sembra ungrossoproblema.Qualsiasi cosamemorizzata lì (log,backup,.bash_history,ecc.) Sarebbe accessibile a qualsiasi script PHPinfettoin esecuzionein/home/user/public_html.Sembra che sarebbemeglio lasciare wp-config su/home/user/public_html/wp-config.phpe utilizzare le regole htaccessperbloccare le richieste HTTP.Hai ancorail vantaggio dibloccare l'accessonell'evento (improbabile) che viene visualizzatoin testonormale,manonesponii file soprapublic_html.
    • translation icon
    • calendar icon 2012-09-12

    Qualcuno ci ha chiesto dibrillaree io risponderò qui.

    Sì,l'isolamento di wp-config.php dalla directoryprincipale deltuo sito offre vantaggiin termini di sicurezza.

    1- Seiltuogestore PHP viene danneggiato omodificatoin qualchemodo,letueinformazioni DBnon verrannoesposte. E sì,l'ho visto accadere alcune volte su host condivisi durantegli aggiornamenti del server. Sì,il sito verrà danneggiato durante quelperiodo,ma letuepassword rimarrannointatte.

    2- Lemiglioripratiche consigliano sempre diisolarei file di configurazione daifile di dati. Sì,è difficilefarlo con WordPress (o qualsiasi app web),ma spostarlo verso l'alto crea unpo 'diisolamento.

    3- Ricorda la vulnerabilità PHP-CGI,in cui chiunquepotrebbepassareil? -s a unfilee visualizzareil sorgente. http://www.kb.cert.org/vuls/id/520827

    Allafine,questi sonopiccoli dettagli,ma aiutano a ridurre alminimoil rischio. Specialmente seti troviin ​​un ambiente condiviso,dove chiunquepuò accedere altuo database (tutto ciò di cui habisogno è un utente/pass).

    Manon lasciare chepiccole distrazioni (ottimizzazionipremature) sitrovino difronte a ciò che è veramentenecessarioper rendere un sito adeguatamente sicuro:

    1- Tienilo sempre aggiornato

    2- Utilizzapassword complesse

    3- Limitare l'accesso (tramite autorizzazioni). Abbiamo unpost al riguardo qui:

    http://blog.sucuri.net/2012/08/wordpress-security-cutting-through-the-bs.html

    grazie,

    • Ehi ragazzi,grazieper aver aggiuntoi vostripensieri.Penso che abbiamogià centrato lamaggiorparte di questipuntinelle altre rispostee nei loro commenti.1) Sì,èpossibile,ma raro;2) Sì,questo ha dei vantaggi,ma sonominimi;3) Sì,èpossibile,ma èimprobabile che queltipo di vulnerabilità si ripresenti,e proteggersi è unpo 'comegiocare a whac-a-mole,o costringere lepersone atogliersi le scarpenegli aeroportiperché qualcheidiota hanascosto unabombanel suoscarpa una volta.È reazionarioed èimprobabile che abbiabeneficifuturi.
    • Nelle varie discussioni,la domanda è stata affinata da "Ci sono vantaggi?"a "Ok,ci sono alcuni vantaggi,ma superanoi rischi?"Il rischioprincipale a cuimi riferisco èilfatto che deviespandere l'ambito openbase_dirper consentire a PHP di accedere agli script al difuori della radice web.Molte configurazioni di hosting,comprese quelle che utilizzano Plesk,che èmolto,memorizzano registri,backup,aree FTPprivate che dovrebberoessereisolate dalla radice web,ecc. Nella directory sopra la radice web.Quindi,dare accesso PHP a quella directorypuòessere unagrave vulnerabilità.
    • translation icon
    • calendar icon 2012-07-13

    Sicuramente SÌ.

    Quando sposti wp-config.php fuori dalla directorypubblica,loproteggi dalla lettura utilizzandoilbrowser quandoilgestorephp vienemodificatoin modo dannoso (o accidentale!).

    La lettura deltuo login/password DB èpossibile quandoil server è difficilmenteinfettatoper colpa di un amministratore zoppo.Addebitare unamulta all'amministratoree ottenere un server hostpiù curatoe affidabile.Anche sepotrebbeesserepiù costoso.

    • Se un utentemalintenzionato ha accesso sufficientepermodificareilgestore PHP,seigiàfregato.Lemodifiche accidentali sonomolto rarenellamiaesperienzae intal caso sarebbefacile cambiare lapassword.Alla luce di queste cose,pensi ancora che valga lapena rischiare diesporre log/backup/ecc. A causa dell'ambito `open_basedir`esteso?
    • Non homai avuto accesso a `-rwx` a directory superiori a`public_html`,quindinon homai avutofamiliarità con `open_basedir`.Imiei registri sonoin una directory separata,cosìfannoi backup.Penso che sia quello che hannotuttigli host condivisi.
    • Ipadroni di casa varianoenormemente;nonesiste una struttura di directory standard.Plesk (uno deipannelli di controllopiùpopolariper host condivisi)inseriscei login/var/www/vhosts/example.com/statistics/logse la radice del documento è/var/www/vhosts/example.com/httpdocs.Spostare wp-config.phpin/var/www/vhosts/example.com/wp-config.php richiederebbe l'accesso degli script all'intera directoryexample.com.
    • Soloper curiosità,dove sono archiviatii tuoi loge backup,senonnella directory del dominio?Sono accessibilitramite unpannello di controllo o qualcosa delgenere?
    • Sì,tramite unpannello di controllo.
    • Potrei sbagliarmi su questo,ma seiltuo servernon è sicuro,un collegamento simbolicopotrebbe leggereiltuo wp-config.phpindipendentemente da dove sitrova.Tutto ciò che un utentemalintenzionato deve sapere è dovepotrebbeessereilfilee se èpossibileil collegamento simbolico.Questapotrebbeessere una domandafuoritema,ma sembrerebbe che se cifosse unmodoper rinominare wp-config.php,sarebbe unmodoperprevenireilphishing.
    • Ilnome delfile `wp-config.php` è codificatoin` wp-load.php`,quindinon èpossibile cambiarlo senzamodificareil core.
    • translation icon
    • calendar icon 2012-10-03

    Voglio solo chiarire,per amor di discussione,che spostareiltuofile wp_config.phpnon significanecessariamente che devi spostarlo solonella directoryprincipale. Supponiamo chetu abbia una struttura come/root/html,dove html contiene l'installazione di WPe tuttoiltuo contenuto HTML. Invece di spostare wp_config.phpin/root,potresti spostarloin qualcosa come/root/secure ... che è siafuori dalla directory html chenonnella directory root del server. Ovviamente,dovresti assicurarti chephppossaessereeseguito anchein questa cartella sicura.

    Poiché WPnonpuòessere configuratoper cercare wp_config.phpin una cartella dipari livello come/root/secure,devifare unpasso aggiuntivo. Ho lasciatoilfile wp_config.phpin/root/htmle hotagliato leparti sensibili (login al database,salt,prefisso dellatabella)e le ho spostatein unfile separato chiamato config.php. Quindi aggiungiil comando PHP include altuo wp_config.php,in questomodo: include ('/home/content/path/to/root/secure/config.php');

    Questo èessenzialmente quello che hofattonellamia configurazione. Ora,sullabase della discussione di cui sopra,sto ancora valutando se ènecessaria o addirittura unabuonaidea. Ma volevo solo aggiungere che la configurazione di cui sopra èpossibile. Nonesponei tuoibackupe altrifile di roote,finché la cartellaprotettanon è configurata conilproprio URLpubblico,non è sfogliabile.

    Inoltre,puoi limitare l'accesso alla cartellaprotetta creando unfile .htaccess con: 

      ordinenega,consenti
negato datutti
consenti da 127.0.0.1
    • Ehi Michael,grazieper averlo condiviso.Tuttavia,l'haiprovatoin un ambiente realeper verificare chefunzioni?Penso che la direttiva `open_basedir`prenda unintero * albero *,quindiper accedere a`/root/secure` da `/root/html`,dovrestiimpostare` open_basedir` su `/root`.
    • Perfarfunzionare latuaidea,penso che dovrestiimpostare la struttura della directory come `/root/httpdocs/config/access`,dove` httpdocs` contiene log,backup,ecc;`config` contiene` wp-config.php`e `access` contiene WordPresse tuttoil contenuto.Dovrestimodificare la configurazione di vhost,ecc. Per rimappare la radice del documentoin "accessibile".Tuttavia,non vedo alcun vantaggionelnegare semplicemente le richieste HTTP a wp-confignella configurazionepredefinita.
    • Secondo http://www.php.net/manual/en/ini.core.php#ini.open-basedir: "In Windows,separa le directory con unpuntoe virgola. Sututtigli altri sistemi,separa le directory coni duepunti. Comemodulo Apache,i percorsi open_basedir dalle directorypadre vengono oraereditati automaticamente. "Quindipuoiimpostarepiù directory,non ènecessario che sianoin un unico albero.
    • L'ho appenaprovatoe sembra chetu abbia ragione.Tuttavia,non sono ancora sicuro del vantaggioper la sicurezza che questo ha sulnegare semplicemente l'accesso alfiletramite Apache.
    • @IanDunn si è rivoltobene nella risposta di Aaron Adams
    • Nontrovo convincente la sua argomentazione.Ho spiegatoperchénelmio commento alla sua risposta.
    • translation icon
    • calendar icon 2012-11-19

    Ci sonomoltitemi eplugin scrittimale che consentono agli atatcker diiniettare codice (ricordailproblema di sicurezza con Timthumb). Sefossi un attaccante,perché dovrei cercare wp-config.php? Inserisci semplicemente questo codice: 

     var_dump( DB_NAME, DB_USER, DB_PASSWORD );

    Puoiprovare anascondereiltuo wp-config.php. Finché WordPress rendetutte leinformazioni sensibili accessibili a livelloglobale,non ha alcun vantaggio dinascondereilfile wp-config.php.

    Lapartenegativa di wp-config.phpnon è che contiene dati sensibili. Lapartenegativa è definirei dati sensibili come una costante accessibileglobale.

    <"Aggiorna

    Voglio chiarirei problemi con define()e perché è una cattivaidea definirei dati sensibili come una costanteglobale.

    Esistonomoltimodiper attaccare un sito web. L'iniezione di script è solo unmodoper attaccare un sito web.

    Supponendo cheil server abbia una vulnerabilità che consente a un utentemalintenzionato di accedere a un dump dellamemoria. L'attaccantetroverànel dump dellamemoriatuttii valori ditutte le variabili. Se si definisce una costante accessibileglobale,questa deve rimanerein memoriafino altermine dello script. Creando una variabileinvece di una costante,c'è unabuonaprobabilità cheilgarbage collector sovrascriva (o libera) lamemoria dopo che la variabilenon èpiùnecessaria.

    Unmodomiglioreperproteggerei dati sensibili èeliminarliimmediatamente dopo averli utilizzati: 

     $db_con = new stdClass();
$db_con->db_user = 'username';
$db_con->password = 'password';
$db_con->host = 'localhost';

$db_handler = new Database_Handler( $db_con );

$db_con = null;

    Dopo aver utilizzatoi dati sensibili,l'assegnazione a null sovrascriverài datiin memoria. Un utentemalintenzionato deve ottenereil dump dellamemoriaproprionelmomentoin cui $db_con contienei dati sensibili. E questo è untempomoltobrevenell'esempio sopra (se la classe Database_Handlernonne salva una copia).

    • Questa rispostanon affronta direttamente la domanda.Qualsiasi autore dipluginpuò avere unagiornata campale con WordPress seti convince ainstallareilproprio codicee haintenti dannosi.Non è diverso dall'installare volontariamente un virus sultuo sistema.Questo argomentopernon spostare wp-config.php èinutile.È come dire che l'installazione volontaria di un'autobombanellatua auto rendeinutile l'impostazione dell'antifurto.Tecnicamente veroma WTF?!?
    • No,non èinutile.La domanda è:possoproteggere l'account del databasenascondendo wp-config.php.E la risposta è chiaramente: No. È come se chiedessi "Possoproteggere lamia auto dalle autobombe con un allarmeper auto?" Non ci sono altri vantagginelnascondereilproprio wp-configperproteggere l'accesso al database o l'accessoftp.Entrambi sononell'ambitoglobale.Sono sicuro che ci sonopiùmodipergli aggressori di ottenere l'accesso alle variabiliglobali senzainiettare codice.
    • Non vedo "possoproteggere l'account del databasenascondendo wp-config.php"nella domanda originale.La domanda originaleera "ha senso spostareilfile wp-config.php".La risposta è assolutamente sì,IMO.È come chiedere se dovresti chiudere a chiave laporta di casa quandoesci.Dire "qualcunopuòfacilmente rompere unafinestraedentrare comunque,quindiperchépreoccuparsi"non risponde alpuntofondamentale della domanda.IMO,la domandapostaera questa: "Vale lapena lo sforzoextraper spostare wp-config.php? QUALSIASI vantaggionelfarlo?".Sì.Per lomenotiene fuorigli hackerpigri.
    • _Una dellemiglioripratiche di sicurezzapiù comuni ..._ Haiperso unpuntomolto (molto,molto)importante: a cosa èinteressato un aggressore?E *non * come hai designatoiltuo wp-config.php.Un attaccante èinteressato ai valori che hai definitoneltuofile wp-config.Prendendoiltuoesempio con laportaprincipale:nascondereiltuo wp-config è lo stesso come se chiudessi laportaprincipale,ma conservituttoiltuo orononprotettoin giardino.Tuttii valori definitiin wp-config sono definiti *globalmente *.Quindi sono *tutti * accessibili al difuori di wp-config.Anche senascondiiltuo wp-config,i valori sono ancorapresenti.
    • Penso che coloro che sostengono lo spostamento stiano cercando diproteggersi da scenariin cui wp-config.phppotrebbeessere visualizzatoin testonormaletramite una richiesta HTTP,piuttosto che scenariin cuipotrebbeessereesposto ad altro codice PHPin esecuzione sull'host.
    • @ Ralf912 -non èesattamente accurato.Le definizioniglobali sono ACCESSIBILI datuttii file diprogrammain tutte le directorymanon vengono visualizzate.Per VEDEREi valori ènecessarioesserein grado di riscrivereil codicemodificato sul server.Considerando che un server configuratomale con wp-config.phpin doc rootmostreràprontamente quei valori cometestonormale.Questo èilpuntofondamentale.Vedereil codiceper uno qualsiasi deiplugin/temi non causa danni.
    • Un ottimopunto su come `define`globalizza qualunque cosa venga definita.
    • translation icon
    • calendar icon 2020-07-21

    Mi spiace sbattere un vecchiopost,manonesiste solo una soluzione ovvia atutto questo. Sappiamo che ci sono alcuni vantaggiper la sicurezzanello spostareilfile wp-config.php dalla directory delle rotte di wordpress. Alcuni sostengono chei vantaggi sonominimi,altrino.

    D'altro canto,cipossonoessere alcuniinconvenientinello spostareilfile dalla suaposizionepredefinita,come rompere alcuniplugin chenon hannofunzionalitàper cercareilfile wp-config.phpin altreposizioni.

    La cosapiù ovviaperme è creare unfile secret-info.php al difuori della directory delle rotte di wordpress che contiene variabilipertuttii tuoinomi utentee password,adesempio

    $ userName=& quot; utente & quot ;;

    $ databasePassword=& quot; 12345 & quot ;;

    Lasciailfile wp-config.phpnella directory di rottapredefinita di wordpress,rimuovii valori dinome utentee password da wp-config.phpma lasciatuttoil resto. Quindifai semplicemente riferimento alla variabile $ userNamee $ databasePassword richiedendo secret-info.phpin wp-config.php,adesempio

    <"require('PATH-TO-FILE/secret-info.php');

    Sembra la cosapiù ovvia dafare,mi manca qualcosa qui?

    • In realtà è davvero unabuona cosa aggiungere una risposta a una vecchia domanda,[c'èpersino unbadgeperessa] (https://wordpress.stackexchange.com/help/badges/44/necromancer).[WPSE vuoleessere un archivio di conoscenza] (https://wordpress.stackexchange.com/tour),piuttosto che unforum.
    • translation icon
    • calendar icon 2012-07-17

    Oltre ai vantaggiin termini di sicurezza,ti consente anche dimantenere latuaistanza di WordPress sottoil controllo della versionemantenendoi fileprincipali di WordPress come sottomodulo/esterno.Ecco come Mark Jaquith haimpostatoil suoprogetto WordPress-Skeleton.Vedi https://github.com/markjaquith/WordPress-Skeleton#assumptions peri dettagli.

    • Lo haimpostatonella root del documento,non al difuori diesso,quindinon è rilevanteper questa domanda.Latecnica su cui è stataposta la domanda specifica che si sposta `wp-config.php` di una directory sopra * la radice del documento di vhost *,non solo una directory sopra la cartella diinstallazione di WordPress.Ilpunto èportarlofuori dalla cartella chepuòessere letta dalle richieste HTTP.