Một trong những thực tiễn tốt nhất về bảo mật phổ biến nhất hiện nay dường như là di chuyển wp-config.phpmột thư mục cao hơn thư mục gốc của vhost . Tôi chưa bao giờ thực sự tìm thấy một lời giải thích tốt cho điều đó, nhưng tôi cho rằng nó sẽ giảm thiểu rủi ro của một tập lệnh độc hại hoặc bị nhiễm trong webroot khi đọc mật khẩu cơ sở dữ liệu.

Nhưng, bạn vẫn phải để WordPress truy cập nó, vì vậy bạn cần mở rộng open_basedirđể bao gồm thư mục phía trên tài liệu gốc. Không phải điều đó chỉ đánh bại toàn bộ mục đích, và cũng có khả năng phơi bày nhật ký máy chủ, sao lưu, vv cho những kẻ tấn công sao?

Hoặc là kỹ thuật chỉ cố gắng ngăn chặn một tình huống wp-config.phpsẽ được hiển thị dưới dạng văn bản thuần túy cho bất kỳ ai yêu cầu http://example.com/wp-config.php, thay vì bị phân tách bởi công cụ PHP? Điều đó có vẻ như là một sự cố rất hiếm gặp và nó sẽ không vượt quá những nhược điểm của việc lộ nhật ký / sao lưu / vv đối với các yêu cầu HTTP.

Có lẽ bạn có thể di chuyển nó ra bên ngoài gốc tài liệu trong một số thiết lập lưu trữ mà không để lộ các tệp khác, nhưng không phải trong các thiết lập khác?

Kết luận: Sau rất nhiều lần qua lại về vấn đề này, hai câu trả lời đã xuất hiện mà tôi nghĩ nên được coi là những câu có thẩm quyền. Aaron Adams là một trường hợp tốt để ủng hộ việc di chuyển wp-config, và chrisguitarguy làm cho một trường hợp tốt chống lại nó . Đó là hai câu trả lời bạn nên đọc nếu bạn chưa quen với chủ đề này và không muốn đọc toàn bộ. Các câu trả lời khác là dư thừa hoặc không chính xác.

Câu trả lời ngắn gọn: có

Câu trả lời cho câu hỏi này là không rõ ràng , và nói cách khác là hoàn toàn vô trách nhiệm .

Câu trả lời dài: một ví dụ thực tế

Cho phép tôi cung cấp một ví dụ rất thực, từ máy chủ rất thực của tôi, nơi di chuyển wp-config.phpbên ngoài web root đặc biệt ngăn không cho nội dung của nó bị bắt .

Con bọ:

Hãy xem mô tả về lỗi này trong Plesk (được sửa trong 11.0.9 MU # 27):

Plesk đặt lại chuyển tiếp tên miền phụ sau khi đồng bộ hóa đăng ký với gói lưu trữ (117199)

Nghe có vẻ vô hại đúng không?

Chà, đây là những gì tôi đã làm để kích hoạt lỗi này:

1. Thiết lập một tên miền phụ để chuyển hướng đến một URL khác (ví dụ như site.staging.server.comđể site-staging.ssl.server.com).
2. Đã thay đổi gói dịch vụ của thuê bao (ví dụ: cấu hình PHP của nó).

Khi tôi làm điều này, Plesk đặt lại tên miền phụ thành mặc định: phục vụ nội dung của ~/httpdocs/, không có trình thông dịch (ví dụ PHP) hoạt động.

Và tôi đã không thông báo. Cho vài tuần.

Kết quả:

• Với wp-config.phptrong web root, một yêu cầu /wp-config.phpsẽ tải xuống tệp cấu hình WordPress.
• Với wp-config.phpbên ngoài web root, yêu cầu /wp-config.phptải xuống một tệp hoàn toàn vô hại. Các wp-config.phptập tin thực sự không thể được tải xuống.

Vì vậy, rõ ràng là việc di chuyển ra wp-config.phpngoài web root có lợi ích bảo mật thực sự trong thế giới thực .

Cách di chuyển wp-config.phpđến bất kỳ vị trí nào trên máy chủ của bạn

WordPress sẽ tự động xem một thư mục phía trên cài đặt WordPress cho wp-config.phptệp của bạn , vì vậy nếu đó là nơi bạn đã di chuyển nó, bạn đã hoàn tất!

Nhưng nếu bạn đã chuyển nó đi nơi khác thì sao? Dễ dàng. Tạo một cái mới wp-config.phptrong thư mục WordPress với đoạn mã sau:

<?php

/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
    define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');

(Hãy chắc chắn thay đổi đường dẫn trên thành đường dẫn thực tế của wp-config.phptệp được di chuyển của bạn .)

Nếu bạn gặp vấn đề với open_basedir, chỉ cần thêm đường dẫn mới vào lệnh open_basedirtrong cấu hình PHP của bạn:

open_basedir = "/var/www/vhosts/example.com/httpdocs/;/var/www/vhosts/example.com/phpdocs/;/tmp/"

Đó là nó!

Chọn các đối số trái ngược nhau

Mọi đối số chống lại việc di chuyển wp-config.phpbên ngoài web gốc đều dựa trên các giả định sai.

Đối số 1: Nếu PHP bị tắt, họ đã tham gia

Cách duy nhất ai đó sẽ thấy nội dung của [ wp-config.php] là nếu họ phá vỡ máy chủ của bạn Trình thông dịch PHP, nếu điều đó xảy ra, bạn đã gặp rắc rối: họ có quyền truy cập trực tiếp vào máy chủ của bạn.

SAI : Kịch bản tôi mô tả ở trên là kết quả của việc cấu hình sai, không phải là sự xâm nhập.

Luận điểm 2: Vô tình vô hiệu hóa PHP là rất hiếm, và do đó không đáng kể

Nếu kẻ tấn công có đủ quyền truy cập để thay đổi trình xử lý PHP, thì bạn đã bị lừa. Những thay đổi ngẫu nhiên rất hiếm khi xảy ra theo kinh nghiệm của tôi và trong trường hợp đó, thật dễ dàng để thay đổi mật khẩu.

SAI : Kịch bản tôi mô tả ở trên là kết quả của một lỗi trong một phần mềm máy chủ chung, ảnh hưởng đến cấu hình máy chủ chung. Điều này hầu như không "hiếm" (và bên cạnh đó, bảo mật có nghĩa là đáng lo ngại về kịch bản hiếm gặp).

WTF : Thay đổi mật khẩu sau khi xâm nhập hầu như không giúp ích gì nếu thông tin nhạy cảm được chọn trong quá trình xâm nhập. Thực sự, chúng ta vẫn nghĩ rằng WordPress chỉ được sử dụng cho viết blog thông thường và những kẻ tấn công chỉ quan tâm đến sự đào tẩu? Hãy lo lắng về việc bảo vệ máy chủ của chúng tôi, không chỉ khôi phục nó sau khi có người vào.

Luận điểm 3: Từ chối truy cập wp-config.phplà đủ tốt

Bạn có thể hạn chế quyền truy cập vào tệp thông qua cấu hình máy chủ ảo hoặc .htaccess- hạn chế quyền truy cập bên ngoài vào tệp theo cách tương tự như việc di chuyển bên ngoài gốc tài liệu.

SAI : Hãy tưởng tượng máy chủ của bạn mặc định cho một máy chủ ảo là: không có PHP, không .htaccess, allow from all(hầu như không bình thường trong môi trường sản xuất). Nếu cấu hình của bạn bằng cách nào đó được đặt lại trong một hoạt động thông thường - như giả sử, cập nhật bảng điều khiển - mọi thứ sẽ trở lại trạng thái mặc định và bạn sẽ tiếp xúc.

Nếu mô hình bảo mật của bạn không thành công khi cài đặt vô tình được đặt lại thành mặc định, bạn cần bảo mật hơn.

WTF : Tại sao mọi người đặc biệt khuyên dùng ít lớp bảo mật hơn? Những chiếc xe đắt tiền không chỉ có ổ khóa; họ cũng có báo động, cố định và theo dõi GPS. Nếu cái gì đó đáng để bảo vệ, hãy làm nó đúng.

Luận điểm 4: Truy cập trái phép không phải wp-config.phplà vấn đề lớn

Thông tin cơ sở dữ liệu thực sự là thứ nhạy cảm duy nhất trong [ wp-config.php].

SAI : Các khóa xác thực và muối có thể được sử dụng trong bất kỳ số lần tấn công chiếm quyền điều khiển nào.

WTF : Ngay cả khi thông tin cơ sở dữ liệu là thứ duy nhất wp-config.php, bạn sẽ cảm thấy sợ hãi khi kẻ tấn công chạm tay vào chúng.

Đối số 5: Di chuyển wp-config.phpbên ngoài web root thực sự làm cho máy chủ kém an toàn hơn

Bạn vẫn phải cho phép WordPress truy cập [ wp-config.php], vì vậy bạn cần mở rộng open_basedirđể bao gồm thư mục phía trên thư mục gốc.

SAI : Giả sử wp-config.phplà vào httpdocs/, chỉ cần di chuyển nó đến ../phpdocs/và đặt thành open_basedirchỉ bao gồm httpdocs/và phpdocs/. Ví dụ:

open_basedir = "/var/www/vhosts/example.com/httpdocs/;/var/www/vhosts/example.com/phpdocs/;/tmp/"

(Hãy nhớ luôn luôn bao gồm /tmp/hoặc tmp/thư mục người dùng của bạn , nếu bạn có.)

Kết luận: các tệp cấu hình phải luôn luôn được đặt bên ngoài web root

Nếu bạn quan tâm đến bảo mật, bạn sẽ di chuyển ra wp-config.phpngoài web root của mình.

Điều lớn nhất là wp-config.phpchứa một số thông tin nhạy cảm: tên người dùng / mật khẩu cơ sở dữ liệu của bạn, v.v.

Vì vậy, ý tưởng: di chuyển nó ra bên ngoài tài liệu gốc và bạn không phải lo lắng về bất cứ điều gì. Kẻ tấn công sẽ không bao giờ có thể truy cập tệp đó từ nguồn bên ngoài.

Tuy nhiên, đây là chà: wp-config.phpkhông bao giờ thực sự in bất cứ điều gì lên màn hình. Nó chỉ định nghĩa các hằng số khác nhau được sử dụng trong suốt quá trình cài đặt WP của bạn. Do đó, cách duy nhất ai đó sẽ thấy nội dung của tệp đó là nếu họ phá vỡ trình thông dịch PHP của máy chủ của bạn - họ lấy .phptệp để hiển thị dưới dạng văn bản thuần túy. Nếu điều đó xảy ra, bạn đã gặp rắc rối: họ có quyền truy cập trực tiếp vào máy chủ của bạn (và có thể là quyền root) và có thể làm bất cứ điều gì họ muốn.

Tôi sẽ tiếp tục và nói rằng không có lợi ích gì khi di chuyển ra wp-configngoài tài liệu gốc từ góc độ bảo mật - vì những lý do trên và những điều sau:

1. Bạn có thể hạn chế quyền truy cập vào tệp thông qua cấu hình máy chủ ảo hoặc .htaccess - hạn chế hiệu quả quyền truy cập bên ngoài vào tệp theo cùng cách di chuyển bên ngoài gốc tài liệu
2. Bạn có thể đảm bảo quyền truy cập tệp nghiêm ngặt wp-configđể ngăn chặn bất kỳ người dùng nào không có đủ đặc quyền đọc tệp ngay cả khi họ có quyền truy cập (giới hạn) vào máy chủ của bạn thông qua SSH.
3. Thông tin nhạy cảm của bạn, cài đặt cơ sở dữ liệu, chỉ được sử dụng trên một trang web duy nhất. Vì vậy, ngay cả khi kẻ tấn công có được quyền truy cập vào thông tin đó, trang web duy nhất mà nó sẽ ảnh hưởng sẽ là bản cài đặt WordPress chứa wp-config.phptệp. Quan trọng hơn, người dùng cơ sở dữ liệu đó chỉ có quyền đọc và ghi vào cơ sở dữ liệu của cài đặt WP đó và không có gì khác - không có quyền truy cập để cấp quyền cho người dùng khác. Có nghĩa là, theo cách khác, nếu kẻ tấn công có quyền truy cập vào cơ sở dữ liệu của bạn, thì đó chỉ là vấn đề khôi phục từ bản sao lưu (xem điểm 4) và thay đổi người dùng cơ sở dữ liệu
4. Bạn sao lưu thường xuyên. Thường là một thuật ngữ tương đối: nếu bạn đăng 20 bài viết mỗi ngày, tốt hơn bạn nên sao lưu mỗi ngày hoặc mỗi vài ngày. Nếu bạn đăng một lần một tuần, sao lưu một lần một tuần có khả năng là đủ.
5. Bạn có trang web của mình dưới sự kiểm soát phiên bản ( như thế này ), có nghĩa là ngay cả khi kẻ tấn công có được quyền truy cập, bạn có thể dễ dàng phát hiện các thay đổi mã và cuộn chúng lại. Nếu kẻ tấn công có quyền truy cập wp-config, có lẽ chúng đã nhầm với thứ khác.
6. Thông tin cơ sở dữ liệu thực sự là nội dung nhạy cảm duy nhất wp-configvà vì bạn cẩn thận với nó (xem điểm 3 và 4), đó không phải là vấn đề lớn. Muối và như vậy có thể được thay đổi bất cứ lúc nào. Điều duy nhất xảy ra là nó vô hiệu hóa đăng nhập cookie của người dùng.

Đối với tôi, di chuyển wp-configra khỏi tài liệu gốc của tài liệu an ninh bằng cách che khuất - đó là rất nhiều người rơm.

Tôi nghĩ Max là một câu trả lời am hiểu và đó là một mặt của câu chuyện. Các WordPress Codex có tư vấn nhiều hơn :

Ngoài ra, hãy đảm bảo rằng chỉ bạn (và máy chủ web) có thể đọc tệp này (nó thường có nghĩa là quyền 400 hoặc 440).

Nếu bạn sử dụng máy chủ có .htaccess, bạn có thể đặt tệp này vào tệp đó (ở trên cùng) để từ chối quyền truy cập vào bất kỳ ai lướt qua nó:

<files wp-config.php>
order allow,deny
deny from all
</files>

Lưu ý rằng việc đặt quyền 400 hoặc 440 trên wp-config.php có thể ngăn các plugin ghi hoặc sửa đổi nó. Ví dụ, một trường hợp chính hãng sẽ là các plugin lưu đệm (W3 Total Cache, WP Super Cache, v.v.) Trong trường hợp đó, tôi sẽ sử dụng 600 (quyền mặc định cho các tệp trong /home/userthư mục).

Ai đó yêu cầu chúng tôi tỏa sáng, và tôi sẽ trả lời ở đây.

Có, có những lợi ích bảo mật từ việc cô lập wp-config.php của bạn khỏi thư mục gốc của trang web của bạn.

1- Nếu trình xử lý PHP của bạn bị hỏng hoặc sửa đổi theo một cách nào đó, thông tin DB của bạn sẽ không bị lộ. Và vâng, tôi đã thấy điều này xảy ra một vài lần trên các máy chủ được chia sẻ trong quá trình cập nhật máy chủ. Có, trang web sẽ bị hỏng trong khoảng thời gian đó, nhưng mật khẩu của bạn sẽ còn nguyên vẹn.

2- Thực tiễn tốt nhất luôn khuyên bạn nên cách ly các tệp cấu hình khỏi các tệp dữ liệu. Vâng, thật khó để làm điều đó với WordPress (hoặc bất kỳ ứng dụng web nào), nhưng việc di chuyển nó lên có một chút cô lập.

3- Ghi nhớ lỗ hổng PHP-CGI, nơi mọi người có thể chuyển? -S vào một tệp và xem nguồn. http://www.kb.cert.org/vuls/id/520827

Cuối cùng, đó là những chi tiết nhỏ, nhưng chúng giúp giảm thiểu rủi ro. Đặc biệt nếu bạn đang ở trong một môi trường được chia sẻ, nơi mọi người có thể truy cập cơ sở dữ liệu của bạn (tất cả những gì họ cần là một người dùng / vượt qua).

Nhưng đừng để những phiền nhiễu nhỏ (tối ưu hóa sớm) xuất hiện trước những gì thực sự cần thiết để có được một trang web an toàn đúng cách:

1- Luôn cập nhật

2- Sử dụng mật khẩu mạnh

3- Hạn chế truy cập (thông qua quyền). Chúng tôi có một bài viết về nó ở đây:

http://blog.sucuri.net/2012/08/wordpress-security-cuting-ENC-the-bs.html

cảm ơn,

Chắc chắn là có.

Khi bạn di chuyển wp-config.php bên ngoài thư mục công cộng, bạn sẽ bảo vệ nó khỏi việc đọc bằng trình duyệt khi trình xử lý php bị thay đổi (hoặc vô tình!).

Đọc thông tin đăng nhập / mật khẩu DB của bạn là có thể khi máy chủ hầu như không bị lây nhiễm thông qua lỗi của quản trị viên què. Tính phí cho quản trị viên và nhận được một máy chủ lưu trữ đáng tin cậy và có xu hướng tốt hơn. Mặc dù điều đó có thể đắt hơn.

Tôi chỉ muốn làm rõ, để tranh luận, việc di chuyển tệp wp_config.php của bạn không nhất thiết có nghĩa là bạn phải di chuyển nó chỉ vào thư mục mẹ. Giả sử bạn có cấu trúc như / root / html, trong đó html chứa cài đặt WP và tất cả nội dung HTML của bạn. Thay vì di chuyển wp_config.php sang / root, bạn có thể di chuyển nó sang một cái gì đó như / root / safe ... nằm ngoài thư mục html và cũng không nằm trong thư mục gốc của máy chủ. Tất nhiên, bạn cũng cần đảm bảo rằng php cũng có thể chạy trong thư mục bảo mật này.

Vì WP không thể được cấu hình để tìm wp_config.php trong thư mục anh chị em như / root / safe, bạn phải thực hiện một bước bổ sung. Tôi đã để lại wp_config.php trong / root / html và cắt bỏ các phần nhạy cảm (đăng nhập cơ sở dữ liệu, muối, tiền tố bảng) và chuyển chúng sang một tệp riêng gọi là config.php. Sau đó, bạn thêm includelệnh PHP vào wp_config.php của bạn, như thế này:include('/home/content/path/to/root/secure/config.php');

Đây thực chất là những gì tôi đã làm trong thiết lập của mình. Bây giờ, dựa trên các cuộc thảo luận ở trên, tôi vẫn đang đánh giá xem nó là cần thiết hay thậm chí là một ý tưởng tốt. Nhưng tôi chỉ muốn thêm rằng cấu hình trên là có thể. Nó không để lộ các bản sao lưu của bạn và các tệp gốc khác, và miễn là thư mục bảo mật không được thiết lập với URL công khai của chính nó, nó không thể duyệt được.

Hơn nữa, bạn có thể giới hạn quyền truy cập vào thư mục bảo mật bằng cách tạo tệp .htaccess trong đó với:

order deny,allow
deny from all
allow from 127.0.0.1

Có rất nhiều chủ đề và plugin được viết xấu ngoài đó cho phép các atatckers tiêm mã (hãy nhớ vấn đề bảo mật với Timthumb). Nếu tôi là kẻ tấn công, tại sao tôi phải tìm kiếm wp-config.php? Đơn giản chỉ cần tiêm mã này:

var_dump( DB_NAME, DB_USER, DB_PASSWORD );

Bạn có thể cố gắng ẩn wp-config.php của bạn. Miễn là WordPress làm cho tất cả các thông tin nhạy cảm có thể truy cập được trên toàn cầu, việc ẩn wp-config.php không có lợi ích gì.

Phần xấu trong wp-config.php không phải là nó chứa dữ liệu nhạy cảm. Phần xấu là xác định dữ liệu nhạy cảm là hằng số có thể truy cập toàn cầu.

Cập nhật

Tôi muốn làm rõ các vấn đề với define()và tại sao nên xác định dữ liệu nhạy cảm là một hằng số toàn cầu.

Có rất nhiều cách để tấn công một trang web. Script tiêm chỉ là một cách để tấn công một trang web.

Giả sử máy chủ có một lỗ hổng cho phép kẻ tấn công truy cập vào kết xuất bộ nhớ. Kẻ tấn công sẽ tìm thấy trong bộ nhớ kết xuất tất cả các giá trị của tất cả các biến. Nếu bạn xác định hằng số truy cập toàn cầu, nó phải ở trong bộ nhớ cho đến khi tập lệnh kết thúc. Tạo một biến thay vì hằng số, rất có thể bộ thu gom rác sẽ ghi đè (hoặc miễn phí) bộ nhớ sau khi biến không còn cần thiết nữa.

Cách tốt hơn để bảo vệ dữ liệu nhạy cảm là xóa chúng ngay lập tức sau khi sử dụng:

$db_con = new stdClass();
$db_con->db_user = 'username';
$db_con->password = 'password';
$db_con->host = 'localhost';

$db_handler = new Database_Handler( $db_con );

$db_con = null;

Sau khi sử dụng dữ liệu nhạy cảm, việc gán nullsẽ ghi đè lên dữ liệu trong bộ nhớ. Kẻ tấn công phải lấy kết xuất bộ nhớ ngay lúc $db_conchứa dữ liệu nhạy cảm. Và đó là một khoảng thời gian rất ngắn trong ví dụ trên (nếu lớp Database_Handler không lưu một bản sao của nó).

Ngoài các lợi ích bảo mật, nó cũng cho phép bạn giữ phiên bản WordPress của mình dưới sự kiểm soát phiên bản trong khi vẫn giữ các tệp WordPress cốt lõi dưới dạng mô hình con / bên ngoài. Đây là cách Mark Jaquith đã thiết lập dự án WordPress-Skeleton của mình. Xem https://github.com/markjaquith/WordPress-Skeleton#assumptions để biết chi tiết.