Renforcez la sécurité de WordPress en déplaçant wp-config.php dans un dossier non public
Par défaut, wp-config.php se trouve dans le même dossier que votre blog WordPress. Donc, si la page d'accueil de votre blog est sur mysite.com/blog, il en va de même de votre wp-config.php. Ce n’est pas aussi imprudent qu’il semble puisque les fichiers .php sont scripts côté serveur qui sont traités par le serveur. Lorsque vous consultez un fichier .php, vous consultez en fait la sortie du fichier. Il en va de même lorsque vous visualisez la source. Le seul moyen de télécharger le code brut d'un fichier .php est via FTP.
Mais ce n’est pas parce que vous n’avez normalement pas accès à un fichier .php que vous êtes toujours en sécurité…
Les accidents se produisent et les vulnérabilités existent. Si la configuration PHP de votre serveur Web échoue, si vos types MIME ne sont pas configurés correctement ou si votre serveur Web est mal configuré, votre page Web pourrait finir par servir du texte brut au lieu d'une sortie PHP traitée. ce ne sont que quelques exemples. Et, tout comme être dépendant lors d’un rassemblement de motivation dans l’auditorium du lycée, cela ne prend qu’une fraction de seconde et avant que vous puissiez obtenir votre culotte, ils ont tout vu. Oui, ils ont tout vu.
Dans ce groovyPost, je vais vous montrer comment garder votre wp-config.php avec vos noms d'utilisateur et mots de passe de base de données MySQL (r). Bien qu'aucun site Web ou blog ne soit totalement piraté, cette astuce rendra le piratage de votre blog WordPress plus difficile pour les intrus potentiels qu'un site qui n'a pas pris ces précautions. Habituellement, le simple fait d'être plus en sécurité que votre voisin suffit à dissuader les tentatives d'un pirate informatique potentiel d'accéder à un site autre que le vôtre. N'oubliez pas que si vous êtes dans la forêt avec un groupe de personnes et qu'un ours se montre, vous n'avez pas à courir plus vite que l'ours, mais plus vite que les autres. (et en plaisantant à part, Bear Mace est votre meilleur pari si vous êtes vraiment dans cette situation)
Déplacement de votre fichier wp-config.php
Avec les autorisations de fichier appropriées et un serveur Web correctement configuré, conserver votre fichier wp-config.php dans le même dossier public que le reste de votre blog devrait parfaitement convenir. Mais quand il s’agit de protéger votre site Web, la sécurité est un oignon (ou Ogre apparemment); plus vous avez de couches, plus vous en avez.
Le codex WordPress affirme ce sentiment et vous recommande de déplacer votre fichier wp-config.php loin de son emplacement d'installation par défaut. Les blogs auto-hébergés WordPress.org vous permettent de déplacer votre fichier wp-config.php d'un niveau à partir de la racine de votre blog. C’est très bien, mais pour la plupart des serveurs Web, la racine de votre blog a un niveau supérieur. encore un dossier public_html. Vous feriez mieux de le placer dans un dossier qui ne soit pas un sous-répertoire de votre dossier public_html ou WWW. De cette façon, les chances que quelqu'un y accède via un navigateur Web ou toute autre application HTTP sont pratiquement nulles..
Voici ce que vous faites:
Étape 1
Accédez à votre site WordPress.org via un programme FTP et accédez à la racine.
Étape 2
Téléchargez le fichier wp-config.php sur votre disque dur.
Étape 3
Renommez-le en autre chose que wp-config.php.
Faites-en quelque chose de stupide, donc quelqu'un qui trébuche dessus (peut-être quelqu'un qui a piraté votre serveur partagé via SSH) pourrait ne pas le reconnaître pour ce qu'il est. Donc, au lieu de l'appeler «hors site-wordpress-config.php ” appeler "futurama-fan-fic.php.”
Étape 4
Téléchargez votre fichier wp-config.php renommé dans un dossier situé au-dessus de votre dossier public_html ou www. Personnellement, j'ai créé un répertoire complet pour les fichiers de configuration hors site. Mais il est probablement plus sûr de les placer dans un endroit plus aléatoire.
Le plus important est de le mettre à l'extérieur de votre www ou dossier public_html.
Étape 5
Ouvrez le bloc-notes ou votre autre éditeur PHP préféré.
Créez un nouveau fichier wp-config.php contenant uniquement le code suivant:
include ('/ home / usr / hobbies / futurama-fan-fic.php');
?>
Remplacez le répertoire ici par l’emplacement du serveur de votre fichier renommé wp-config.php. Notez que ce n'est pas une URL, c'est un chemin relatif à l'emplacement de votre serveur. Alors, en le faisant:
include ('www.votredomaine.com/location/futurama-fan-fic.php');
ne fonctionnera pas.
Comme vous vous en êtes probablement rendu compte, cela va essentiellement créer un «raccourci”Dans votre fichier wp-config.php actuel. Donc, si quelqu'un pirate votre fichier wp-config.php dans votre répertoire WordPress, tout ce qu'ils trouveront est un fichier pointant vers un autre fichier..
Pour le plaisir, vous pouvez ajouter un commentaire qui se lit comme suit:
// Merci Mario! Mais notre princesse est dans un autre château!
Étape 6
Téléchargez votre nouveau fichier wp-config.php sur votre racine WordPress. Écraser l'ancien (vous avez tout d'abord sauvegardé, à droite?).
Étape 7
C'est tout! Accédez à la racine de votre blog WordPress.org pour vous assurer de son bon fonctionnement..
Si vous obtenez une erreur qui se lit comme suit:
Attention: include (/www.votredomaine.com/location/futurama-fan-fic.php ') [function.include]: échec de l’ouverture du flux: Aucun fichier ou répertoire de ce type dans/home/usr/public_html/blog.com/wp-config.php en ligne 2
Erreur fatale: Appel de la fonction non définie wp () dans /wp-blog-header.php en ligne 14
Ensuite, cela signifie que vous avez mal saisi l'emplacement du serveur dans votre fichier wp-config.php modifié. Si vous ne parvenez pas à déterminer le chemin absolu de votre blog, créez un fichier .php contenant le code suivant:
Cela vous montrera le chemin absolu du répertoire dans lequel se trouve le fichier et vous expliquera également comment vous déplacer au-dessus du dossier public_html..
Si vous obtenez un message d'erreur qui se lit comme suit:
Il ne semble pas y avoir de
wp-config.php
fichier. J'ai besoin de cela avant que nous puissions commencer. Besoin d'aide? Nous avons compris. Vous pouvez créer unwp-config.php
fichier via une interface Web, mais cela ne fonctionne pas pour toutes les configurations de serveur. Le moyen le plus sûr est de créer manuellement le fichier.
Cela signifie qu’il n’ya pas de fichier wp-config.php dans votre racine WordPress.org. Vérifiez à nouveau que vous avez téléchargé le fichier wp-config.php modifié dans votre racine WordPress.org ou dans le dossier situé juste au-dessus, ainsi que le fichier renommé wp-config.php vers un autre emplacement, plutôt que l'inverse..
Conclusion
Le déplacement de votre wp-config.php rendra-t-il votre blog pare-balles? Certainement pas. Mais ce n’est que l’une des mesures que vous pouvez prendre pour rendre votre site Web ou votre blog plus sécurisé. Et pour moi, cela me permet de mieux dormir la nuit, tout comme de mettre une chaîne supplémentaire ou un pêne dormant à la porte..
Remarque: avant de vous consacrer à la structure de votre fichier, assurez-vous de sauvegarder vos données et de vous sentir à l'aise avec ce que vous faites. Vous pourriez sérieusement gâcher votre blog WordPress si vous supprimez la mauvaise chose. Tu as été prévenu.