如何保护wp-config.php文件
WordPress CMS内容管理系统的wp-config.php 文件包含有关您的 WordPress 安装的非常敏感的信息,例如 WordPress 安全密钥和 WordPress 数据库连接详细信息,当然不希望此文件的内容落入坏人之手,因此 WordPress wp-config.php 安全绝对是您应该认真对待的事情。
WordPress 有很多方法可以从它面临的许多安全漏洞中强化自己。在本文中,我们晓得博客将主要关注如何保护wp-config.php文件。
推荐:WordPress插件Wordfence Security安全插件图文使用教程
关于wp-config.php文件
创建WordPress网站时,包含一个名为“ wp-config.php ”的文件。这个特殊的 WordPress 配置文件是最重要的 WordPress 文件之一。该文件包含许多配置参数,必须修改这些参数才能提高 WordPress 网站的安全性。当你打开这个文件时,你会发现你在为你的 WordPress 网站设置数据库时输入的所有信息。
wp-config.php文件包含用户名、密码等信息——访问数据库所需的所有必要信息。再往下,有一组可用的密钥,可帮助以多种方式保护您的 WordPress 网站。在此之下,您将获得一个名为“table_prefix”的变量,这对于信息安全至关重要。将所有这些重要数据写入此文件后,保护 wp-config.php 文件非常重要。
推荐:如何在WordPress中编辑wp-config.php文件
保护wp-config.php 文件的方法
1、通过.htaccess文件保护
使用 FTP 客户端连接到网站并下载位于网站根目录中的 .htaccess 文件。使用 FTPES 的 SFTP 来加密计算机和服务器之间的通信非常重要。
使用记事本等文本编辑器打开 .htaccess 文件。将以下内容复制到您的 .htaccess 以拒绝访问您的 wp-config.php 文件。您可以在所有其他条目之后复制 .htaccess 文件底部的以下文本。
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
将上述文本添加到 WordPress .htaccess 文件后,将其上传回网站的根目录以覆盖旧文件。
推荐:如何修复WordPress中leverage browser caching缓存警告
2、移动wp-config.php
通常wp-config.php 文件位于根目录中,因此最佳做法是将 wp-config.php 文件移动到不可预测的位置,以保护存储在文件中的敏感数据。尽管这是一项艰巨且耗时的任务,但最终,它是决定 WordPress 网站安全命运的重要部分。此外,每次升级时,您都需要更改 WordPress 源代码并进行维护。
通常,wp-config.php 文件通过将其上移一层从而将其置于您网站的公共文件夹之外来保护。所以最好的选择是向上移动并在您的网站目录中的一个未公开的位置。脱机工作时,您可以通过简单的拖放功能完成此操作。但是,在线工作时,您需要执行以下步骤:
- 使用文件管理器中的移动工具
- 选择 wp-config.php 文件
- 点击移动工具。
- 更改要放置文件的目录
这个过程可能不容易实现,可能需要与 WordPress主机交谈,以确保您的网站服务器的设置方式允许这样做。但是 wp-config.php 的搬迁并不能确保其完全安全。
3、创建新的wp-config.php文件
创建一个名为“config.php”的新文件。需要将该文件创建在非 WWW 可访问的目录中。例如,如果您的博客或网站内容位于/home/youruser/public_html/中,则在/home/youruser/中创建文件 config.php,这样您的任何访问者都无法访问该文件。通常这应该是 public_html 或 www 目录之前的目录。
打开现有的WordPress wp-config.php 文件并将包含数据库连接详细信息、数据库前缀以及 WordPress 安全密钥的行从 wp-config.php 文件移动到新的 config.php 文件,如下所示例子。
<?php
define('DB_NAME', 'Your_DB'); // name of database
define('DB_USER', 'DB_User'); // MySQL user
define('DB_PASSWORD', 'DB_pass'); // and password
define('DB_HOST', 'localhost'); // MySQL host
// The WordPress Security Keys
define('AUTH_KEY', 'Your_key_here');
define('SECURE_AUTH_KEY', 'Your_key_here');
define('LOGGED_IN_KEY', 'Your_key_here');
define('NONCE_KEY', 'Your_key_here');
define('AUTH_SALT', 'Your_key_here');
define('SECURE_AUTH_SALT', 'Your_key_here');
define('LOGGED_IN_SALT', 'Your_key_here');
define('NONCE_SALT', 'Your_key_here');
// The WordPress database table prefix
$table_prefix = 'wp_'; // only numbers, letters and underscore
?>
从原来的wp-config.php 文件中删除所有敏感数据后,只需在 wp-config.php 文件中的<?php之后直接添加以下行;include(‘/home/yourname/config.php’); 。所以你的 wp-config.php 的前两行应该是这样的;
<?php
include('/home/yourname/config.php')
现在,wp-config.php 文件不再将所有敏感信息存储在 wp-config.php 文件中,而是从不同位置读取此类信息。
请注意,包含路径(即 /home/yourname/)因网络服务器或网络托管提供商而异。如果您不确定您网站的绝对路径是什么,请参考博主提示如何使用 PHP 在网络服务器上查找绝对路径。
推荐:WordPress优化修复WordPress网站速度慢加载慢
4、为 wp-config.php 设置正确的文件权限
wp-config 是整个目录中最敏感的文件之一,因它包含有关基本配置的所有信息以及数据库连接信息。该文件的适当文件权限将为 400。这意味着用户和组只有读取权限,其他人将无法访问该文件。
总结
以上是晓得博客为你介绍的如何保护wp-config.php文件的全部内容,在WordPress建站中必须确保 wp-config.php 已按照上述步骤进行配置,并让您的用户也了解其组织网站的最佳安全实践。必须彻底检查新插件以确保已正确修复已知漏洞,还需要在安全性和功利主义之间取得平衡来更好的保护 wp-config.php 文件并全面保护WordPress网站。
推荐:Defender Security插件WordPress安全插件教程