Senha no wp-config. Perigoso?

9

Ainda não conheço muito o Wordpress, e estou apenas imaginando:

Antes da instalação, você deve preencher os dados corretos em wp-config-sample.php , mas isso também inclui a senha do banco de dados. Isso não é perigoso? Quer dizer, alguém pode explicar como isso é protegido de apenas ler o arquivo e, assim, obter a senha do seu banco de dados?

    
por Bram Vanroy 29.05.2012 / 18:45

5 respostas

14

A página "Hardening WordPress" do Codex contém uma seção sobre "Protegendo o wp-config.php" . Ele inclui a alteração das permissões para 440 ou 400. Você também pode mover o arquivo wp-config um diretório para cima a partir da raiz, se a configuração do servidor permitir isso.

É claro que há algum perigo em ter um arquivo com a senha como essa se alguém obtiver acesso ao seu servidor, mas, honestamente, nesse ponto eles já estão em seu servidor.

Finalmente, você não tem muita escolha. Eu nunca vi um meio alternativo de configurar o WordPress. Você pode bloqueá-lo o máximo que puder, mas é assim que o WordPress é construído, e se fosse uma ameaça de segurança séria , eles não fariam isso dessa maneira.

    
por mrwweb 29.05.2012 / 18:53
8

Para defender o seu arquivo de configuração um nível acima da raiz da web (como sugerido pelo mrwweb): há alguns meses, uma atualização automática em um servidor de produção matou o php, mas deixou apache correndo. Então todo mundo vindo para a homepage estava sendo oferecido index.php como um download . Em teoria, qualquer um que soubesse que era um site do WordPress poderia ter solicitado o wp-config.php e obtido (se ele estivesse na raiz da web). É claro, eles só poderiam usar essas credenciais de banco de dados se permitíssemos conexões remotas do MySQL - mas ainda assim, não é legal. Eu percebo que este é um caso de franja, mas é tão fácil manter sua configuração fora da vista, por que não fazer isso?

    
por MathSmath 30.05.2012 / 04:13
2

A menos que alguém tenha acesso via FTP, você não precisa se preocupar com isso. O PHP é renderizado no servidor antes de ser acessado pelo navegador do usuário.

    
por Simon 29.05.2012 / 18:51
2

Aqui está outra dica: proteja o wp-config.php (e quaisquer outros arquivos sensíveis) com .htaccess

Adicione o seguinte a um arquivo .htaccess no diretório do seu site, onde todos os outros arquivos do WordPress estão localizados:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

de Como endurecer sua instalação do WordPress

    
por Nick 16.08.2018 / 02:27
0

Se alguém tiver acesso para ler o conteúdo dos seus arquivos Php, você já foi hackeado.

    
por Otto 30.05.2012 / 03:07

Tags