Tôi chưa biết nhiều về Wordpress và tôi chỉ đang tự hỏi:
Trước khi cài đặt, bạn phải điền đúng dữ liệu wp-config-sample.phpnhưng điều này cũng bao gồm mật khẩu cơ sở dữ liệu. Điều đó có nguy hiểm không? Ý tôi là, ai đó có thể giải thích làm thế nào điều này được bảo vệ khỏi việc chỉ đọc tệp và do đó nhận được mật khẩu của DB của bạn không?
Câu trả lời:
Trang "Làm cứng WordPress" của Codex chứa một phần trên "Bảo mật wp-config.php" . Nó bao gồm thay đổi quyền thành 440 hoặc 400. Bạn cũng có thể di chuyển tệp wp-config một thư mục từ gốc nếu cấu hình máy chủ của bạn cho phép điều đó.
Tất nhiên, có một số nguy hiểm khi có một tệp có mật khẩu như thế này nếu ai đó có quyền truy cập vào máy chủ của bạn, nhưng, thành thật mà nói, tại thời điểm đó họ đã ở trong máy chủ của bạn.
Cuối cùng, bạn không có nhiều sự lựa chọn. Tôi chưa bao giờ thấy một phương tiện khác để cấu hình WordPress. Bạn có thể khóa nó nhiều nhất có thể, nhưng đây là cách WordPress được xây dựng và nếu đó là một mối đe dọa bảo mật nghiêm trọng , họ sẽ không làm theo cách đó.
Để tạo một trường hợp để giữ cho tệp cấu hình của bạn tăng một cấp từ gốc web (như mrwweb đã đề xuất): một vài tháng trước, một bản cập nhật tự động trên máy chủ sản xuất của chúng tôi đã giết php nhưng vẫn chạy apache. Vì vậy, mọi người đến trang chủ đã được cung cấp index.php dưới dạng tải xuống . Về lý thuyết, bất kỳ ai biết đây là một trang web WordPress đều có thể yêu cầu wp-config.php và đã nhận được nó (đã có trong thư mục gốc của web). Tất nhiên, họ chỉ có thể sử dụng các thông tin DB đó nếu chúng tôi cho phép các kết nối MySQL từ xa - nhưng vẫn không tuyệt. Tôi nhận ra đây là một trường hợp bên lề, nhưng thật dễ dàng để giữ cấu hình của bạn khỏi tầm nhìn, tại sao không làm điều đó?
Đây là một mẹo khác: bảo vệ wp-config.php (và mọi tệp nhạy cảm khác) bằng .htaccess
Thêm phần sau vào tệp .htaccess trong thư mục trang web của bạn nơi chứa tất cả các tệp WordPress khác:
<Files wp-config.php>
order allow,deny
deny from all
</Files>