වෙබ් මූලයෙන් පිටත wp-config ගෙනයාම සැබවින්ම ප්‍රයෝජනවත්ද?

139

මේ දිනවල වඩාත් සුලභ ආරක්‍ෂිත හොඳම භාවිතයන්ගෙන් එකක් වන්නේ ඩිරෙක්ටරියක් වොස්ට්ගේ ලේඛන මූලයට වඩා ඉහළින් චලනය වනwp-config.php බවයි. මම ඒ සඳහා කිසි විටෙකත් හොඳ පැහැදිලි කිරීමක් සොයාගෙන නැත, නමුත් මම සිතන්නේ එය වෙබ්රූට් තුළ ඇති අනිෂ්ට හෝ ආසාදිත ස්ක්‍රිප්ට් එකක දත්ත සමුදා මුරපදය කියවීමෙන් ඇති වන අවදානම අවම කිරීමයි.

නමුත්, ඔබට තවමත් වර්ඩ්ප්‍රෙස් වෙත ප්‍රවේශ වීමට ඉඩ දිය යුතුය, එබැවින් open_basedirලේඛන මූලයට ඉහළින් ඇති නාමාවලිය ඇතුළත් කිරීම සඳහා ඔබ පුළුල් කළ යුතුය. එය සමස්ත අරමුණම පරාජය කිරීමක් පමණක් නොව, සේවාදායක ලොග්, උපස්ථ ආදිය ප්‍රහාරකයන්ට නිරාවරණය කළ හැකිද?

නැතහොත් තාක්‍ෂණය උත්සාහ කරන්නේ PHP එන්ජිම විග්‍රහ කිරීම වෙනුවට wp-config.phpඉල්ලන ඕනෑම කෙනෙකුට සරල පා text යක් ලෙස පෙන්වන තත්වයක් වළක්වා ගැනීමට http://example.com/wp-config.phpපමණක්ද? එය ඉතා දුර්ලභ සිදුවීමක් සේ පෙනේ, එය HTTP ඉල්ලීම් වලට ලොග් / උපස්ථ / යනාදිය නිරාවරණය කිරීමේ අවාසිය ඉක්මවා නොයනු ඇත.

සමහර විට වෙනත් ලිපිගොනු නිරාවරණය නොකර සමහර සත්කාරක සැකසුම් තුළ ලේඛන මූලයෙන් පිටත ගෙන යා හැකි නමුත් වෙනත් සැකසුම් වලදී නොවේද?

නිගමනය: මෙම කාරණය සම්බන්ධයෙන් බොහෝ පසුගාමී කරුණු වලින් පසුව, පිළිතුරු දෙකක් මතු වී ඇති අතර, එය බලයලත් ඒවා ලෙස සැලකිය යුතු යැයි මම සිතමි. ආරොන් ඇඩම්ස් wp-config ගෙනයාමට පක්ෂව හොඳ නඩුවක් ඉදිරිපත් කරන අතර chrisguitarguymakes එයට එරෙහිව හොඳ නඩුවක් කරයි . ඔබ නූල් වලට අලුත් නම් සහ සම්පූර්ණ දේ කියවීමට අකමැති නම් ඔබ කියවිය යුතු පිළිතුරු දෙක එයයි. අනෙක් පිළිතුරු අතිරික්ත හෝ සාවද්‍ය ය.

security  customization  wp-config 
ඉයන් ඩන්
source
1
ඔබේ ප්‍රශ්නය තුළ ඔබේ තේරීම ප්ලග් කිරීම සහ අනෙකුත් සියලුම පිළිතුරු ප්‍රතික්ෂේප කිරීම ඇත්තෙන්ම අවශ්‍ය නොවේ. ඔබට පහතින් දැකිය හැකි පරිදි, මිනිසුන්ට තේරුමක් ඇති පිළිතුරු ලබා දීම සඳහා, කොටස් හුවමාරු ඡන්ද ක්‍රමය සඳහා වන අතර, ප්‍රශ්න අසන්නන් “පිළිගත් පිළිතුර” යාන්ත්‍රණය සහ ඔබේම ඉහළ / පහළ ඡන්ද භාවිතා කළ යුතුය.
Kzqai
7
මා ඇසූ ප්‍රශ්න වලින් 99% ක් සඳහා මම එය නොකරමි, නමුත් මෙම විශේෂිත අවස්ථාවෙහිදී එය සුදුසු යැයි මම සිතුවෙමි. ප්‍රශ්නයට පිළිතුරු 8 ක් ඇති අතර, සමහර ඒවා තරමක් දීර් / / සංකීර්ණ වන අතර සමහර ඒවා සාවද්‍ය තොරතුරු අඩංගු වුවද හෝ සංවාදයට කිසිවක් එකතු නොකලද ඉහළ නැංවීමක් ඇත. අර්ධ බලයලත් නිගමනයක් ඉදිරිපත් කිරීම පළමු වරට නූල් කියවන අයට ප්‍රයෝජනවත් යැයි මම සිතමි. සෑම විටම මෙන්, පා readers කයන්ට තමන්ගේ මනස සකස් කර ගැනීමට නිදහස තිබේ; මම මගේ මතය OP ලෙස ඉදිරිපත් කරමි.
ඉයන් ඩන්
2
ZKzqai: “කොටස් හුවමාරු ඡන්ද ක්‍රමය” ප්‍රජාතන්ත්‍රවාදී ක්‍රියාවලියක් වන අතර, සහභාගිවන්නන් බොහෝ විට 1) OP සැබවින්ම ඉල්ලන්නේ හෝ විසඳීමට උත්සාහ කරන්නේ කුමක් ද යන්න පැහැදිලි නැත, සහ 2) කිසියම් නිශ්චිත පිළිතුරක වලංගුභාවය අවබෝධ කර නොගැනීම. ප්‍රතිචාර උපක්‍රමශීලීව හා ඡන්දය ප්‍රකාශ කිරීමෙන් පසුව, OP විසින් ආධාර සපයන ලද ප්‍රතිචාර පැහැදිලි කර ගැනීම ප්‍රයෝජනවත් වේ. සියල්ලට පසු, දන්නා එකම තැනැත්තා OP වන අතර, තවත් OPs එසේ කරනු ඇතැයි මම ප්‍රාර්ථනා කරමි. ඔව්, මිනිසුන් "මිනිසුන්ට තේරුමක් ඇති පිළිතුරු ඡන්දය දෙයි", නමුත් ඔහුට අර්ථවත් වන්නේ කුමක් ද යන්න පිළිබඳ අවසාන වචනය OP ට ඉඩ දෙමු.
මැක්

Answers:

135

කෙටි පිළිතුර: ඔව්

මෙම ප්‍රශ්නයට පිළිතුර ඔව් සහ වෙනත් ආකාරයකින් පැවසීම වගකීම් විරහිත ය .

දිගු පිළිතුර: සැබෑ ලෝක උදාහරණයක්

wp-config.phpවෙබ් මූලයෙන් පිටත ගමන් කිරීම එහි අන්තර්ගතය ග්‍රහණය කර ගැනීමෙන් වළක්වා ඇති මගේ සැබෑ සේවාදායකයෙන් ඉතා සැබෑ උදාහරණයක් සැපයීමට මට ඉඩ දෙන්න .

දෝෂය:

Plesk හි දෝෂයක් පිළිබඳ මෙම විස්තරය දෙස බලන්න (11.0.9 MU # 27 හි ස්ථාවර කර ඇත):

සත්කාරක සැලැස්ම (117199) සමඟ දායකත්වය සමමුහුර්ත කිරීමෙන් පසුව ප්ලෙස්ක් උප ඩොමේන් ඉදිරියට යැවීම යලි සකසයි.

හානිකර නොවන බවක් පෙනේ, නේද?

හොඳයි, මෙන්න මම මෙම දෝෂය අවුලුවාලීමට කළ දේ:

  1. වෙනත් URL වෙත හරවා යැවීම සඳහා උප ඩොමේනයක් සකසන්න (උදා site.staging.server.com. site-staging.ssl.server.com).
  2. දායකත්වයේ සේවා සැලැස්ම වෙනස් කරන ලදි (උදා: එහි PHP වින්‍යාසය).

මා මෙය කළ විට, ප්ලෙස්ක් විසින් උප ඩොමේනය පෙරනිමි ලෙස යළි පිහිටුවයි: ~/httpdocs/පරිවර්තකයන් නොමැතිව (උදා: PHP) සක්‍රියව අන්තර්ගතය සේවය කිරීම .

මම දැක්කේ නැහැ. සති ගණන්.

ප්රතිඵලය:

  • සමග wp-config.phpවෙබ් මූල දී, ඉල්ලීමක් /wp-config.phpවර්ඩ්ප්රෙස් මානකරන ගොනුව බාගත කර ඇත.
  • සමග wp-config.phpවෙබ් මූල පිටත ඉල්ලීමක් /wp-config.phpසම්පූර්ණයෙන්ම හානිකර ගොනු බාගත. සැබෑ wp-config.phpගොනුව බාගත කළ නොහැකි විය.

මේ අනුව, wp-config.phpවෙබ් මූලයෙන් පිටත ගමන් කිරීම සැබෑ ලෝකයේ හොඳ ආරක්‍ෂිත ප්‍රතිලාභ ලබා ගත හැකි බව පැහැදිලිය .

wp-config.phpඔබගේ සේවාදායකයේ ඕනෑම ස්ථානයකට යන්නේ කෙසේද

වර්ඩ්ප්‍රෙස් ඔබේ wp-config.phpගොනුව සඳහා ඔබේ වර්ඩ්ප්‍රෙස් ස්ථාපනයට ඉහළින් එක් ඩිරෙක්ටරියක් ස්වයංක්‍රීයව පෙනෙනු ඇත , එබැවින් ඔබ එය ගෙන ගිය ස්ථානය නම්, ඔබ ඉවරයි!

නමුත් ඔබ එය වෙනත් තැනකට ගෙන ගියහොත් කුමක් කළ යුතුද? පහසු. wp-config.phpපහත කේතය සමඟ වර්ඩ්ප්‍රෙස් නාමාවලියෙහි නව එකක් සාදන්න :

<?php

/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
    define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');

(ඉහත සඳහන් මාර්ගය ඔබේ නැවත ස්ථානගත කළ wp-config.phpගොනුවේ සත්‍ය මාර්ගයට වෙනස් කිරීමට වග බලා ගන්න .)

ඔබ යම් ගැටලුවකට මුහුණ දෙන්නේ නම් open_basedir, open_basedirඔබේ PHP වින්‍යාසය තුළ විධානයට නව මාවත එක් කරන්න :

open_basedir = "/var/www/vhosts/example.com/httpdocs/;/var/www/vhosts/example.com/phpdocs/;/tmp/"

ඒක තමයි!

ඊට පටහැනිව තර්ක ඇමතීම

wp-config.phpවෙබ් මූලයෙන් පිටතට යාමට එරෙහි සෑම තර්කයක්ම ව්‍යාජ උපකල්පන මත රැඳී ඇති බව පෙනේ.

තර්කය 1: PHP අක්‍රීය කර ඇත්නම්, ඔවුන් දැනටමත් සිටී

[ wp-config.php] හි අන්තර්ගතය යමෙකු බැලීමට යන එකම ක්‍රමය වන්නේ ඔවුන් ඔබේ සේවාදායකයන් PHP පරිවර්තකය මග හැරියහොත් පමණි… එය සිදුවුවහොත්, ඔබ දැනටමත් කරදරයක වැටී ඇත: ඔවුන්ට ඔබේ සේවාදායකයට access ජු ප්‍රවේශයක් ඇත.

අසත්‍යය : මා ඉහත විස්තර කළ දර්ශනය වැරදි වින්‍යාසයක ප්‍රති result ලයක් මිස ආක්‍රමණයකි.

2 වන තර්කය: අහම්බෙන් PHP අක්‍රීය කිරීම දුර්ලභ වන අතර එබැවින් එය වැදගත් නොවේ

ප්‍රහාරකයාට PHP හසුරුව වෙනස් කිරීමට ප්‍රමාණවත් ප්‍රවේශයක් තිබේ නම්, ඔබ දැනටමත් ඉස්කුරුප්පු කර ඇත. මගේ අත්දැකීම් වලදී අහම්බෙන් සිදුවන වෙනස්කම් ඉතා කලාතුරකිනි, එවැනි අවස්ථාවකදී මුරපදය වෙනස් කිරීම පහසුය.

අසත්‍යය : මා ඉහත විස්තර කළ තත්වය පොදු සේවාදායක වින්‍යාසයකට බලපාන පොදු සේවාදායක මෘදුකාංගයක ඇති දෝෂයක ප්‍රති result ලයකි. මෙය කිසිසේත්ම "දුර්ලභ" නොවේ (ඊට අමතරව, ආරක්ෂාව යනු දුර්ලභ අවස්ථාව ගැන කරදර වීමයි).

ආක්‍රමණයකින් පසු මුරපදය වෙනස් කිරීම කිසිසේත්ම උපකාරී නොවේ. ඇත්ත වශයෙන්ම, වර්ඩ්ප්‍රෙස් භාවිතා කරන්නේ අනියම් බ්ලොග්කරණය සඳහා පමණක් බවත්, ප්‍රහාරකයින් උනන්දු වන්නේ අපවිත්‍ර වීමට පමණක් බවත් අපි තවමත් සිතනවාද? කවුරුහරි ඇතුල් වූ පසු එය යථා තත්වයට පත් කිරීම පමණක් නොව, අපගේ සේවාදායකය ආරක්ෂා කිරීම ගැන කරදර වෙමු.

3 වන තර්කය: ප්‍රවේශය ප්‍රතික්ෂේප කිරීම wp-config.phpප්‍රමාණවත්ය

ඔබගේ අථත්‍ය ධාරක වින්‍යාසය හරහා ඔබට ගොනුවට ප්‍රවේශ වීම සීමා කළ හැකිය .htaccess- නැතහොත් ලේඛන මූලයෙන් පිටත ගමන් කරන ආකාරයටම ගොනුවට බාහිර ප්‍රවේශය effectively ලදායී ලෙස සීමා කිරීම.

අසත්‍යය : අතථ්‍ය ධාරකය සඳහා ඔබේ සේවාදායකයේ පෙරනිමි ඒවා යැයි සිතන්න: PHP නැත .htaccess, නැත , allow from all(නිෂ්පාදන පරිසරයක අසාමාන්‍ය දෙයක් නොවේ). දෛනික මෙහෙයුමකදී ඔබගේ වින්‍යාසය කෙසේ හෝ යළි පිහිටුවනු ලැබුවහොත් - පැනල් යාවත්කාලීන කිරීමක් වැනි - සියල්ල එහි පෙරනිමි තත්වයට නැවත පැමිණෙනු ඇත, එවිට ඔබ නිරාවරණය වේ.

සැකසුම් අහම්බෙන් පෙරනිමි වෙත යළි පිහිටුවන විට ඔබගේ ආරක්ෂක ආකෘතිය අසමත් වුවහොත්, ඔබට වැඩි ආරක්ෂාවක් අවශ්‍ය වේ.

ආරක්ෂිත ස්ථර කිහිපයක් කිසිවෙකු විශේෂයෙන් නිර්දේශ කරන්නේ ඇයි? මිල අධික මෝටර් රථවල අගුල් නොමැත; ඔවුන්ට අනතුරු ඇඟවීම්, ප්‍රතිශක්තිකාරක සහ ජීපීඑස් ට්රැකර් ද ඇත. යමක් ආරක්ෂා කිරීමට වටිනවා නම්, එය නිවැරදිව කරන්න.

තර්කය 4: අනවසරයෙන් ප්‍රවේශ වීම wp-config.phpලොකු දෙයක් නොවේ

[ wp-config.php] හි ඇති එකම සංවේදී දේ දත්ත සමුදා තොරතුරු වේ .

අසත්‍යය : සොරකම් කිරීමේ විභවයන් ගණනාවකදී සත්‍යාපන යතුරු සහ ලවණ භාවිතා කළ හැකිය.

දත්ත සමුදා අක්තපත්‍ර එකම දෙය වුවද wp-config.php, ප්‍රහාරකයෙකු ඔවුන් අතට පත්වීම ගැන ඔබ බිය විය යුතුය .

තර්කය 5: wp-config.phpවෙබ් මූලයෙන් පිටත ගමන් කිරීම ඇත්ත වශයෙන්ම සේවාදායකය අඩු ආරක්ෂිත කරයි

ඔබට තවමත් වර්ඩ්ප්‍රෙස් ප්‍රවේශ වීමට ඉඩ දිය යුතුය [ wp-config.php], එබැවින් open_basedirලේඛන මූලයට ඉහළින් ඇති නාමාවලිය ඇතුළත් කිරීම සඳහා ඔබ පුළුල් කළ යුතුය.

අසත්‍යය : උපකල්පනය wp-config.phpකර ඇත httpdocs/, එය වෙත ගෙනයන්න ../phpdocs/, සහ open_basedirඇතුළත් කිරීමට පමණක් සකසන්න httpdocs/සහ phpdocs/. උදාහරණයක් වශයෙන්:

open_basedir = "/var/www/vhosts/example.com/httpdocs/;/var/www/vhosts/example.com/phpdocs/;/tmp/"

( ඔබට එකක් තිබේ නම් සැමවිටම ඇතුළත් /tmp/කිරීමට හෝ ඔබේ පරිශීලක tmp/නාමාවලිය මතක තබා ගන්න .)

නිගමනය: මානකරන ගොනු හැම විටම සෑම විටම කළ යුතු සෑම විටම වෙබ් මූල පිටත පිහිටා

ඔබ ආරක්ෂාව ගැන සැලකිලිමත් නම්, ඔබ wp-config.phpඔබේ වෙබ් මූලයෙන් පිටතට යා යුතුය .

ආරොන් ඇඩම්ස්
source
1
ඔබට අපාචේ, ලිනක්ස් හෝ පරිපාලකගේ මොළයේ දෝෂයක් තිබේ නම් ඔබ ඕනෑම අවස්ථාවක සව්දියකි. ඔබේ තත්වය තුළ, වෙබ් අඩවියේ මූලයේ වැරදි වින්‍යාසයක් සිදුවීමට වඩා සම්භාවිතාවක් ඇති වීමට හේතුව ඔබ පැහැදිලි කිරීමට අසමත් වේ, පසුව සේවාදායකයේ වෙනත් ස්ථානයක. වැරදි ලෙස වින්‍යාසගත කර ඇති අපාචියකට /config.php තරම් පහසුවෙන් /../config.php වෙත පිවිසිය හැකිය
මාර්ක් කැප්ලුන්
2
ඔබ "කිසිම අවස්ථාවක ටෝස්ට්" නොවේ. දෝෂයක් හේතුවෙන් වෙබ් මූල එහි පෙරනිමියට නැවත සැකසීමට ඉඩ ඇති බව ඉතා සම්භාවිතාව සහ නිරූපණය කළ හැකි අතර , ඔබ "සව්දිය" නොමැති විට - ඔබේ wp-config.phpඉතිරිව සුරක්ෂිතව පවතී. එය අතිශයින්ම කළ නොහැක්කකි - අත්‍යවශ්‍යයෙන්ම කළ නොහැකි තරමට - දෝෂයක් හේතුවෙන් වෙබ් මූලය ඔබ තැබූ නිශ්චිත නාමාවලිය වෙත අත්තනෝමතික ලෙස නැවත සැකසෙනු ඇත wp-config.php.
ආරොන් ඇඩම්ස්
1
AnIanDunn ඇත්ත වශයෙන්ම, wp-config.phpඅත්තනෝමතික ස්ථානයකට යාම පහසුය . මම මගේ පිළිතුරට උපදෙස් එකතු කර ඇත්තෙමි. එය හුදෙක් wp-config.phpවර්ඩ්ප්‍රෙස් ඩිරෙක්ටරියේ ව්‍යාජ එකක් නිර්මාණය කරමින් සැබෑ ස්ථානය සඳහන් කරයි.
ආරොන් ඇඩම්ස්
3
මෙම ප්‍රතිචාරය ස්ථානගතව පවතී. මගේ වෙබ් සත්කාරක සමාගමට ඩ්‍රයිව් අරා අසමත් විය. සියල්ල කියවා අවසන් කළ පසු ඔවුන් පද්ධතිය යථා තත්වයට පත් කළහ. Httpd.conf ගොනු වැරදි ලෙස නැවත ගොඩනඟා ගැනීම සඳහා ඔවුන් cPanel / WHM ස්ක්‍රිප්ට් මාලාවක් භාවිතා කළ බව පෙනේ. වාසනාවකට මෙන්, මට දැනටමත් ලේඛ මූලයෙන් පිටත wp-config.php තිබුනි, නමුත් මා නොසිටියේ නම් එහි අන්තර්ගතය එහි තිබේ. ඔව් දුර්ලභයි, නමුත් සඳහන් කළ පරිදි දුර්ලභ අවස්ථා ඔබ කනස්සල්ලට පත්විය යුතුය. එසේම, “සරල මනසක් ඇති මිනිසුන් නැති වී යනු ඇත” යනුවෙන් ප්‍රකාශ කිරීම අඩු ආරක්ෂාවක් සඳහා නරක නිදහසට කරුණකි.
ලාන්ස් ක්ලීව්ලන්ඩ්
1
ඒක හොඳ කාරණයක්, ආරොන්. මෙම සහ වෙනත් අදහස් දැක්වීමේ පොතේ මා සඳහන් කර ඇති හේතු ගැන මම තවමත් සැක සහිතය, නමුත් මා මුලින් සිතුවාට වඩා එයට වැඩි කුසලතාවයක් ඇති බව ඔබ මට ඒත්තු ගැන්වීය. අවම වශයෙන්, නිසි පරිදි කළහොත්, එය කිසිම දෙයකට හානියක් වේ යැයි මම නොසිතමි. එය ප්‍රවර්ධනය කරන බොහෝ පුද්ගලයින් එයට හේතු තේරුම් ගෙන නැති බව මට තවමත් ගැටලුවක් වී ඇති අතර, ඔවුන් එය උගන්වන ආකාරය බොහෝ විට ඉහත නාමාවලිය httpdocs නිරාවරණය වීමට තුඩු දෙනු ඇත, නමුත් ඔබ එම ගැටළු විසඳීමට උදව් කර ඇත ඔබේ පිළිතුර.
ඉයන් ඩන්
42

ලොකුම දෙය නම් wp-config.phpසමහර සංවේදී තොරතුරු අඩංගු වේ: ඔබේ දත්ත සමුදා පරිශීලක නාමය / මුරපදය යනාදිය.

එබැවින් අදහස: ලේඛන මූලයෙන් පිටත එය ගෙනයන්න, ඔබ කිසිවක් ගැන කරදර විය යුතු නැත. ප්‍රහාරකයෙකුට කිසි විටෙකත් බාහිර ගොනුවකින් එම ගොනුවට ප්‍රවේශ විය නොහැක.

කෙසේවෙතත්, මෙන්න රබර්: wp-config.phpකිසි විටෙකත් තිරය වෙත කිසිවක් මුද්‍රණය නොකරයි. එය අර්ථ දක්වන්නේ ඔබේ WP ස්ථාපනය පුරාම භාවිතා වන විවිධ නියතයන් පමණි. මේ අනුව යමෙකු එම ගොනුවේ අන්තර්ගතය බැලීමට යන එකම ක්‍රමය වන්නේ ඔවුන් ඔබේ සේවාදායක PHP පරිවර්තකය මග හැරියහොත් පමණි - ඒවා .phpසරල පෙළක් ලෙස ඉදිරිපත් කිරීමට ගොනුව ලබා ගනී. එය සිදුවුවහොත්, ඔබ දැනටමත් කරදරයට පත්ව ඇත: ඔවුන්ට ඔබේ සේවාදායකයට access ජු ප්‍රවේශයක් ඇත (සහ බොහෝ විට root අවසර) සහ ඔවුන්ට කැමති ඕනෑම දෙයක් කළ හැකිය.

මම ඉදිරියට ගොස් ආරක්ෂක දෘෂ්ටිකෝණයකින් ලේඛන මූලයෙන් පිටත ගමන් කිරීමෙන් කිසිදු ප්‍රයෝජනයක් නැතැයිwp-config කියමි - ඉහත හේතු සහ මේවා සඳහා:

  1. ඔබගේ අථත්‍ය ධාරක වින්‍යාසය හෝ .htaccess හරහා ඔබට ගොනුවට ප්‍රවේශ වීම සීමා කළ හැකිය - ලේඛනයේ මූලයෙන් පිටත ගමන් කරන ආකාරයටම ගොනුවට බාහිර ප්‍රවේශය effectively ලදායී ලෙස සීමා කිරීම.
  2. wp-configSSH හරහා ඔබේ සේවාදායකයට (සීමිත) ප්‍රවේශයක් ලැබුණද, ප්‍රමාණවත් වරප්‍රසාද නොමැති ඕනෑම පරිශීලකයෙකුට ගොනුව කියවීම වැළැක්වීමට ගොනු අවසරයන් දැඩි බව ඔබට සහතික කළ හැකිය .
  3. ඔබගේ සංවේදී තොරතුරු, දත්ත සමුදා සැකසුම් භාවිතා කරනුයේ තනි වෙබ් අඩවියක පමණි. එබැවින් ප්‍රහාරකයෙකු එම තොරතුරු වෙත ප්‍රවේශය ලබා ගත්තද, එය බලපාන එකම වෙබ් අඩවිය වන්නේ wp-config.phpගොනුව අයත් වර්ඩ්ප්‍රෙස් ස්ථාපනයයි. වැදගත්ම දෙය නම්, එම දත්ත සමුදා පරිශීලකයාට එම WP ස්ථාපනය දත්ත ගබඩාවට කියවීමට හා ලිවීමට අවසර ඇති අතර වෙන කිසිවක් නැත - වෙනත් පරිශීලකයින්ට අවසර ලබා දීමට ප්‍රවේශයක් නොමැත. වෙනත් වචන වලින් කිවහොත්, ප්‍රහාරකයෙකු ඔබගේ දත්ත ගබඩාවට ප්‍රවේශය ලබා ගන්නේ නම්, එය හුදෙක් උපස්ථයකින් ප්‍රතිස්ථාපනය කිරීම (4 වන කරුණ බලන්න) සහ දත්ත සමුදා පරිශීලකයා වෙනස් කිරීම ය.
  4. ඔබ බොහෝ විට උපස්ථ කරයි. බොහෝ විට සාපේක්ෂ යෙදුමක් වීම: ඔබ දිනපතා ලිපි 20 ක් පළ කරන්නේ නම්, ඔබ සෑම දිනකම හෝ සෑම දින කිහිපයකදීම උපස්ථ කිරීම වඩා හොඳය. ඔබ සතියකට වරක් පළ කරන්නේ නම්, සතියකට වරක් උපස්ථ කිරීම ප්‍රමාණවත් වේ.
  5. ඔබට ඔබේ වෙබ් අඩවිය අනුවාද පාලනය යටතේ ඇත ( මේ වගේ ), එයින් අදහස් කරන්නේ ප්‍රහාරකයෙකුට ප්‍රවේශය ලැබුණත්, ඔබට පහසුවෙන් කේත වෙනස්වීම් හඳුනාගෙන ඒවා පෙරළා දැමිය හැකිය. ප්‍රහාරකයෙකුට ප්‍රවේශය තිබේ නම් wp-config, ඔවුන් වෙනත් දෙයක් සමඟ පටලවා ගෙන ඇත.
  6. දත්ත සමුදා තොරතුරු ඇත්ත වශයෙන්ම ඇති එකම සංවේදී දේ වන අතර wp-config, ඔබ ඒ ගැන සැලකිලිමත් වන නිසා (3 සහ 4 ලක්ෂ්‍යය බලන්න), එය විශාල ගනුදෙනුවක් නොවේ. ලවණ සහ එවැනි ඕනෑම වේලාවක වෙනස් කළ හැකිය. සිදුවන එකම දෙය නම් එය පරිශීලකයින්ගේ කුකීස් වලංගු නොවන බවයි.

මට නම්, wp-configලේඛනයෙන් ඉවත් වීම ආරක්‍ෂාව පිළිබඳ අපැහැදිලි බවින් හෙළි වේ - එය පිදුරු මිනිසෙකි.

chrisguitarguy
source
2
ඔව්, ඒක තමයි මම හිතුවේ. මම පමණක් නොවන බව දැන ගැනීමට ලැබීම සතුටට කරුණකි :) යමෙකුට බලවත් ප්‍රති-තර්කයක් තිබේ නම් ප්‍රශ්නය තවත් දිනක් හෝ දෙකක් විවෘතව තැබීමට මා කැමතිය, නමුත් මෙතෙක් මෙය නිවැරදි පිළිතුර ලෙස පෙනේ මට.
ඉයන් ඩන්
3
සුළු නිවැරදි කිරීම: wp-config.php ගොනුව ලේඛන මූලයෙන් පිටතට ගෙනයාමට ආරක්ෂක ප්‍රතිලාභයක් නොමැත . ආරක්ෂාව සම්බන්ධ නොවන සහ අසාමාන්‍ය සැකසුම් වලට පමණක් අදාළ වන වෙනත් ප්‍රතිලාභ තිබේ.
ඔටෝ
4
සිදුවිය හැකි මිථ්‍යාවක් නිරාකරණය කර ගැනීම සඳහා - එය කළ නොහැකි ද, සේවාදායකයේ යම් වැරැද්දක් සිදුවිය හැකිය - php කේතය තිරයට මුද්‍රණය කරන්නේ කුමන අවස්ථාවේදී ද?
ස්ටීවන් හැරිස්
3
AnIanDunn නමුත් හොඳම පිළිතුරු එය එම ධූරාවලියෙන් මුළුමනින්ම වෙනම එකක් වෙතට ගෙනයාමට උපදෙස් දෙයි, එය ල logs ු-සටහන් පිළිබඳ ඔබේ කනස්සල්ලට විසඳුම් සපයයි. මෙම පිළිතුර ඔබේ ප්‍රශ්න මාතෘකාවට "චලනය වෙමින් පවතී ... සැබවින්ම ප්‍රයෝජනවත්" යන්නට පිළිතුරු සපයන්නේ නැත. වෙනත් ආරක්ෂක පියවරයන් ප්‍රයෝජනවත් වන අතර ආරක්ෂාව ගැන කරදර නොවීමට ඔබට සහතික වීමට උත්සාහ කරයි. සෑම කෙනෙකුම සිතන්නේ ඔවුන් සොරකම් කරන තුරු ඔවුන්ගේ නිවස ආරක්ෂිත බවයි. ඊට පස්සේ ඔවුන් වඩා හොඳ රැකියාවක් කරනවා. සමහර අය ඔවුන්ගේ ආරක්ෂාව අඩු වුවත් කිසි විටෙකත් සොරකම් නොකරති, නමුත් එයින් අදහස් කරන්නේ අඩු ආරක්ෂාව තිබීම හොඳ උපදෙසක් නොවන බවයි.
ඇන්ඩ rew සී
4
මේවා හොඳ කරුණු, නමුත් මේවා සමඟ මට ඇති ලොකුම ගැටලුව වන්නේ ඒවා පිළියම් තර්ක මිස වැළැක්වීමේ තර්ක නොවේ. මේවායින් බොහොමයක් කතා කරන්නේ එය විශාල ගනුදෙනුවක් නොවන නිසා A) ඔබ යමෙකු db පරිශීලකයා නිවැරදිව හසුරුවා ඇති බව උපකල්පනය කරන අතර B) ඔබට උපස්ථ තිබේ. ඔබ woocommerce වැනි දෙයක් භාවිතා කරන විට හෝ ඔබේ දත්ත ගබඩාවේ සංවේදී තොරතුරු ගබඩා කරන විට කුමක් සිදුවේද? එවිට ඔබ ඉස්කුරුප්පු කර ඇත.
ගෝල්ඩෙන්ටෝ 11
25

මම හිතන්නේ මැක්ස්ගේ දැනුමැති පිළිතුරක් වන අතර එය කතාවේ එක් පැත්තකි. මෙම වර්ඩ්ප්රෙස් කෝඩෙක්ස් වැඩි උපදෙස් ඇත :

එසේම, ඔබට (සහ වෙබ් සේවාදායකයාට) පමණක් මෙම ගොනුව කියවිය හැකි බවට වග බලා ගන්න (සාමාන්‍යයෙන් එයින් අදහස් කරන්නේ 400 හෝ 440 අවසරයකි).

ඔබ .htaccess සහිත සේවාදායකයක් භාවිතා කරන්නේ නම්, ඒ සඳහා සැරිසරන ඕනෑම කෙනෙකුට ප්‍රවේශ වීම ප්‍රතික්ෂේප කිරීම සඳහා ඔබට මෙම ගොනුවේ (ඉහළින්ම) තැබිය හැකිය:

<files wp-config.php>
order allow,deny
deny from all
</files>

Wp-config.php හි 400 හෝ 440 අවසරය සැකසීම මඟින් ප්ලගීන ලිවීම හෝ වෙනස් කිරීම වළක්වා ගත හැකි බව සලකන්න. නිදසුනක් ලෙස අව්‍යාජ නඩුවක් වනුයේ, හැඹිලි ප්ලගීන (W3 මුළු හැඹිලිය, WP සුපර් කෑෂ්, ආදිය) එවැනි අවස්ථාවක, මම 600 ක් සමඟ යන්නෙමි ( /home/userඩිරෙක්ටරියේ ගොනු සඳහා සුපුරුදු අවසරය ).

ඒ මමයි
source
5
මැක්ස්ගේ පිළිතුර එයයි. +1 ඔහුට. මම සරලවම එය දිගු කිරීමට උත්සාහ කරමි.
its_me
1
ආහාන් ක්‍රිෂ්, ඔයා ගොනාගේ ඇසට ගැහුවා. එකතු කිරීමට ස්තූතියි.
මැක්ස් යූඩින්
WTP-config.php වෙත HTTP ඉල්ලීම් ප්‍රතික්ෂේප කිරීමට ඔබ htaccess භාවිතා කරන්නේ නම්, එය ලේඛන මූලයෙන් පිටත ගෙනයාමට සමාන ප්‍රති result ලයක් ලබා නොගනී, නමුත් ලොග් / උපස්ථ / යනාදිය නිරාවරණය නොකර?
ඉයන් ඩන්
4
AnIanDunn ලේඛනයේ මූල කුමක්ද යන්න මත රඳා පවතී - (1) වර්ඩ්ප්‍රෙස් ඩිරෙක්ටරියක් තුළ සත්කාරකත්වය දරන්නේ නම්, නාමාවලියෙන් පිටත public_htmlගමන් wp-config.phpකිරීම යනු එය නාමාවලියෙහි පවතිනු ඇති බවයි public_html. මෙම අවස්ථාවේදී, wp-config.php වෙත HTTP ඉල්ලීම් ප්‍රතික්ෂේප කිරීමට ඔබට htaccess නීති භාවිතා කිරීමට සිදුවේ. (2) වර්ඩ්ප්‍රෙස් සෘජුවම public_htmlඩිරෙක්ටරිය යටතේ ස්ථාපනය කර ඇත්නම් , එක් මට්ටමක් ඉහළට => ඔබ එය /home/userඩිරෙක්ටරියට ගෙන යනු ඇත. මෙම අවස්ථාවේදී ගොනුව ලේඛන මූලයෙන් පිටත ඇති බැවින් ඔබ ඉතා ආරක්ෂිතයි. ඔබට තවමත් ගොනුවේ අවසරයන් 600 (හෝ දැඩි 440 හෝ 400) ලෙස සැකසිය හැකිය.
its_me
AnIanDunn මම කීවාක් මෙන්, මෙය මගේ මූලික අවබෝධය වන අතර මම ආරක්ෂක විශේෂ .යෙක් නොවේ. :)
its_me
17

කවුරුහරි අපෙන් බැබළෙන්නැයි ඉල්ලා සිටි අතර මම මෙහි පිළිතුරු දෙන්නෙමි.

ඔව්, ඔබේ වෙබ් අඩවියේ මූල නාමාවලියෙන් ඔබේ wp-config.php හුදකලා කිරීමෙන් ආරක්ෂක ප්‍රතිලාභ ඇත.

1- ඔබේ PHP හසුරුවන්නා යම් ආකාරයකින් කැඩී හෝ වෙනස් වී ඇත්නම්, ඔබේ DB තොරතුරු නිරාවරණය නොවනු ඇත. ඔව්, සේවාදායක යාවත්කාල කිරීම් අතරතුර හවුල් ධාරක වල මෙය කිහිප වතාවක් සිදුවන බව මම දුටුවෙමි. ඔව්, එම කාලය තුළ වෙබ් අඩවිය බිඳී යනු ඇත, නමුත් ඔබගේ මුරපද නොවෙනස්ව පවතී.

2- හොඳම භාවිතයන් සැමවිටම නිර්දේශ කරන්නේ වින්‍යාස ගොනු දත්ත ගොනු වලින් හුදකලා කිරීමයි. ඔව්, වර්ඩ්ප්‍රෙස් (හෝ ඕනෑම වෙබ් යෙදුමක්) සමඟ එය කිරීම දුෂ්කර ය, නමුත් එය ඉහළට ගෙනයාම ටිකක් හුදකලා වේ.

3- PHP-CGI අවදානම මතක තබා ගන්න, ඕනෑම කෙනෙකුට? -S ගොනුවකට යැවිය හැකි අතර මූලාශ්‍රය බලන්න. http://www.kb.cert.org/vuls/id/520827

අවසානයේදී, ඒවා කුඩා විස්තර වේ, නමුත් ඒවා අවදානම අවම කිරීමට උපකාරී වේ. විශේෂයෙන් ඔබ හවුල් පරිසරයක සිටී නම්, ඕනෑම කෙනෙකුට ඔබේ දත්ත ගබඩාවට ප්‍රවේශ විය හැකිය (ඔවුන්ට අවශ්‍ය වන්නේ පරිශීලකයෙකු / සාමාර්ථයක් පමණි).

වෙබ් අඩවියක් නිසි ලෙස ආරක්‍ෂා කර ගැනීමට අවශ්‍ය දේ ඉදිරියේ කුඩා අවධානය වෙනතකට යොමු කිරීමට ඉඩ නොදෙන්න.

1- එය සැමවිටම යාවත්කාලීනව තබා ගන්න

2- ශක්තිමත් මුරපද භාවිතා කරන්න

3- ප්‍රවේශය සීමා කරන්න (අවසර හරහා). අපට ඒ ගැන ලිපියක් මෙහි ඇත:

http://blog.sucuri.net/2012/08/wordpress-security-cutting-through-the-bs.html

ස්තූතියි,

සුචුරි
source
හේයි යාලුවනේ, ඔබේ අදහස් එකතු කිරීම ගැන ස්තූතියි. මම හිතන්නේ අපි දැනටමත් අනෙක් පිළිතුරු සහ ඔවුන්ගේ අදහස් වල බොහෝ කරුණු වලට පහර දී ඇත. 1) ඔව්, මෙය කළ හැකි නමුත් දුර්ලභ ය; 2) ඔව්, මෙයින් ප්‍රතිලාභ ඇත, නමුත් ඒවා අවම ය; 3) ඔව්, මෙය සිදුවිය හැකි නමුත්, එවැනි අවදානමක් නැවත සිදුවිය නොහැකි අතර, එයින් ආරක්ෂා වීම හරියට whac-a-mole ලෙස සෙල්ලම් කිරීම හෝ ගුවන්තොටුපලවල මිනිසුන්ගේ සපත්තු ඉවත් කිරීම වැනි ය. සමහර ජැකස් ඔහුගේ බෝම්බයක් සඟවා තැබූ නිසා සපත්තු එක් වරක්. එය ප්‍රතිගාමී සහ අනාගත ප්‍රතිලාභ ලැබීමට අපහසුය.
ඉයන් ඩන්
විවිධ සාකච්ඡාවලදී, ප්රශ්නය "ප්රතිලාභ තිබේද?" "හරි, යම් වාසි ඇත, නමුත් ඒවා අවදානම් ඉක්මවා යයිද?" මා සඳහන් කරන ප්‍රධාන අවදානම නම්, වෙබ් මූලයෙන් පිටත PHP වෙත ස්ක්‍රිප්ට් වලට ප්‍රවේශ වීමට ඉඩ දීම සඳහා ඔබ openbase_dir විෂය පථය පුළුල් කළ යුතු වීමයි. බොහෝ සත්කාරක සැකසුම් - ප්ලෙස්ක් භාවිතා කරන ඒවාද ඇතුළුව - ගබඩා ලොග්, උපස්ථ, වෙබ් මූලයෙන් හුදකලා විය යුතු පුද්ගලික FTP ප්‍රදේශ ආදිය වෙබ් මූලයට ඉහළින් ඇති නාමාවලියෙහි ගබඩා කරන්න. එබැවින්, එම නාමාවලියට PHP ප්‍රවේශය ලබා දීම බරපතල අවදානමක් විය හැකිය.
ඉයන් ඩන්
15

අනිවාර්යයෙන්ම ඔව්.

ඔබ wp-config.php පොදු නාමාවලියෙන් පිටත ගෙන යන විට, php හසුරුවන්නා අනිෂ්ට ලෙස (හෝ අහම්බෙන්!) වෙනස් වූ විට ඔබ එය බ්‍රව්සරය භාවිතයෙන් කියවීමෙන් ආරක්ෂා කරයි.

කොර පරිපාලකගේ දෝෂයක් නිසා සේවාදායකයාට කිසිසේත්ම ආසාදනය නොවන විට ඔබේ ඩීබී පිවිසුම / මුරපදය කියවිය හැකිය. පරිපාලකයාට දඩ මුදලක් අය කර වඩා හොඳ සහ විශ්වාසදායක සේවාදායක සත්කාරක සමාගමක් ලබා ගන්න. එය වඩා මිල අධික විය හැකි වුවත්.

මැක්ස් යූඩින්
source
4
ප්‍රහාරකයාට PHP හසුරුව වෙනස් කිරීමට ප්‍රමාණවත් ප්‍රවේශයක් තිබේ නම්, ඔබ දැනටමත් ඉස්කුරුප්පු කර ඇත. මගේ අත්දැකීම් වලදී අහම්බෙන් සිදුවන වෙනස්කම් ඉතා කලාතුරකිනි, එවැනි අවස්ථාවකදී මුරපදය වෙනස් කිරීම පහසුය. ඒ දේවල් දෙස බලන විට, පුළුල් open_basedirවිෂය පථය නිසා ලොග් / උපස්ථ / යනාදිය නිරාවරණය වීමේ අවදානම වටී යැයි ඔබ තවමත් සිතනවාද ?
ඉයන් ඩන්
1
මට කවදාවත් හුරු නැති තරම් -rwxඉහළ නාමාවලි වලට ප්‍රවේශ වී නොමැත . මගේ ල logs ු-සටහන් වෙනම නාමාවලියක ඇත, එබැවින් උපස්ථ සිදු කරයි. මම හිතන්නේ සියලුම හවුල් සත්කාරක සමාගම් සතුව ඇත්තේ එයයි. public_htmlopen_basedir
මැක්ස් යූඩින්
ධාරකයන් විශාල ලෙස වෙනස් වේ; සම්මත නාමාවලි ව්‍යුහයක් නොමැත. Plesk (හවුල් ධාරකයන් සඳහා වඩාත් ජනප්‍රිය පාලන පැනල වලින් එකක්) /var/www/vhosts/example.com/statistics/logs තුළට ලොග් තබන අතර ලේඛන මූලය /var/www/vhosts/example.com/httpdocs වේ. Wp-config.php /var/www/vhosts/example.com/wp-config.php වෙත ගෙනයාමට සම්පූර්ණ example.com නාමාවලියට ස්ක්‍රිප්ට් ලබා දීම අවශ්‍ය වේ.
ඉයන් ඩන්
වසමේ නාමාවලියෙහි නොමැති නම්, ඔබේ ල logs ු-සටහන් සහ උපස්ථ ගබඩා කර ඇත්තේ කුතුහලයෙන් නොවේද? පාලක පැනලයක් හෝ වෙනත් දෙයක් හරහා ඒවාට ප්‍රවේශ විය හැකිද?
ඉයන් ඩන්
1
ඔව්, පාලක පැනලයක් හරහා.
මැක්ස් යූඩින්
8

ඔබේ wp_config.php ගොනුව ගෙනයාම අනිවාර්යයෙන්ම මව් නාමාවලිය වෙත පමණක් ගෙන යා යුතු යැයි අදහස් නොකෙරේ යැයි තර්ක කිරීම සඳහා මට පැහැදිලි කිරීමට අවශ්‍යය. ඔබට / root / html වැනි ව්‍යුහයක් ඇති බව කියමු, එහිදී html හි WP ස්ථාපනය සහ ඔබේ සියලුම HTML අන්තර්ගතයන් අඩංගු වේ. Wp_config.php / root වෙත ගෙනයාම වෙනුවට, ඔබට එය / root / safe වැනි දෙයකට ගෙන යා හැකිය ... එය html නාමාවලියෙන් පිටත වන අතර සේවාදායක මූල නාමාවලියෙහි නොවේ. ඇත්ත වශයෙන්ම, මෙම ආරක්ෂිත ෆෝල්ඩරයේ ද php ධාවනය කළ හැකි බවට ඔබ සහතික විය යුතුය.

/ Root / safe වැනි සහෝදර සහෝදරියන්ගේ ෆෝල්ඩරයක wp_config.php සෙවීම සඳහා WP වින්‍යාසගත කළ නොහැකි බැවින්, ඔබ අතිරේක පියවරක් ගත යුතුය. මම wp_config.php / root / html හි දමා සංවේදී කොටස් (දත්ත සමුදා පිවිසුම, ලුණු, වගු උපසර්ගය) කපා ඒවා වෙනම ගොනුවකට config.php ලෙස ගෙන ගියෙමි. ඉන්පසු ඔබ includeඔබේ wp_config.php වෙත PHP විධානය එක් කරයි ,include('/home/content/path/to/root/secure/config.php');

මෙය මගේ සැකසුම තුළ මම කළ දෙයයි. දැන්, ඉහත සාකච්ඡාව මත පදනම්ව, එය අවශ්‍යද, හොඳ අදහසක්ද යන්න මම තවමත් ඇගයීමට ලක් කරමි. නමුත් මට අවශ්‍ය වූයේ ඉහත වින්‍යාසය හැකි බව එක් කිරීමට ය. එය ඔබගේ උපස්ථ සහ වෙනත් මූල ලිපිගොනු නිරාවරණය නොකරන අතර ආරක්ෂිත ෆෝල්ඩරය තමන්ගේම පොදු URL සමඟ සකසා නොමැති තාක් කල් එය ගවේෂණය කළ නොහැක.

තවද, .htaccess ගොනුවක් සෑදීමෙන් ඔබට ආරක්ෂිත ෆෝල්ඩරයට ප්‍රවේශය සීමා කළ හැකිය:

order deny,allow
deny from all
allow from 127.0.0.1
මයිකල්
source
හේයි මයිකල්, එය බෙදාගැනීම ගැන ස්තූතියි. එය ක්‍රියාත්මක වන බව තහවුරු කර ගැනීම සඳහා ඔබ එය සැබෑ පරිසරයක අත්හදා බැලුවද? මම හිතන්නේ open_basedirනියෝගය සම්පූර්ණ ගසක් ගනී , එබැවින් ප්‍රවේශ වීම /root/secureසඳහා /root/html, ඔබ සැකසිය open_basedirයුතුය /root.
ඉයන් ඩන්
ඔබේ අදහස වැඩ කර ගැනීම සඳහා, මම ඔබට පිහිටුවීමට වැනි බහලුම් ආකෘතිය අවශ්ය කියලා හිතනවා /root/httpdocs/config/accessible, කොහෙද httpdocsලඝු-සටහන් කලද, ආදිය පවත්වයි; configපවත්වයි wp-config.php, සහ accessibleවර්ඩ්ප්රෙස් සහ සියළු අන්තර්ගතය පවත්වයි. ලේඛනයේ මූල නැවත සකස් කිරීම සඳහා ඔබට vhost වින්‍යාසය යනාදිය වෙනස් කිරීමට සිදුවේ accessible. සුපුරුදු සැකසුම තුළ wp-config සඳහා HTTP ඉල්ලීම් ප්‍රතික්ෂේප කිරීමෙන් මට කිසිදු ප්‍රතිලාභයක් නොපෙනේ.
ඉයන් ඩන්
1
Php.net/manual/en/ini.core.php#ini.open-basedir ට අනුව : "වින්ඩෝස් යටතේ, අර්ධ සළකුණක් සහිත නාමාවලි වෙන් කරන්න. අනෙක් සියලුම පද්ධති වල, නාමාවලිය මහා බඩවැලකින් වෙන් කරන්න. අපාචේ මොඩියුලයක් ලෙස, මව් නාමාවලි වලින් open_basedir මාර්ග දැන් ස්වයංක්‍රීයව උරුම වී ඇත. එබැවින් ඔබට බහුවිධ නාමාවලි සැකසිය හැකිය, ඒවා තනි ගසක තිබිය යුතු නොවේ.
මයිකල්
මම එය අත්හදා බැලූ අතර ඔබ නිවැරදි බව පෙනේ. අපාචේ හරහා ගොනුවට ප්‍රවේශ වීම ප්‍රතික්ෂේප කිරීමෙන් මෙයින් ඇති ආරක්‍ෂිත ප්‍රතිලාභ මොනවාදැයි මට තවමත් විශ්වාස නැත.
ඉයන් ඩන්
ආරොන් ඇඩම්ස්ගේ පිළිතුරෙන් ඉයන් ඩන් හොඳින් කතා කළේය
ඇන්ඩ rew සී
4

නරක ලිඛිත තේමාවන් සහ ප්ලගීන රාශියක් ඇත, එමඟින් atatckers හට කේත එන්නත් කිරීමට ඉඩ ලබා දේ (Timthumb සමඟ ඇති ආරක්ෂක ගැටළුව මතක තබා ගන්න). මම ප්‍රහාරකයෙකු නම්, මම wp-config.php සෙවිය යුත්තේ ඇයි? මෙම කේතය සරලව එන්නත් කරන්න:

var_dump( DB_NAME, DB_USER, DB_PASSWORD );

ඔබේ wp-config.php සැඟවීමට උත්සාහ කළ හැකිය. වර්ඩ්ප්‍රෙස් සියළුම සංවේදී තොරතුරු ගෝලීයව ප්‍රවේශ කළ හැකි තාක් කල්, wp-config.php සැඟවීමට කිසිදු ප්‍රතිලාභයක් නොමැත.

Wp-config.php හි නරක කොටස එය සංවේදී දත්ත රඳවා තබා ගැනීම නොවේ. නරක කොටස නම් සංවේදී දත්ත ගෝලීය ප්‍රවේශ විය හැකි නියතයක් ලෙස අර්ථ දැක්වීමයි.

යාවත්කාලීන කරන්න

define()සංවේදී දත්ත ගෝලීය නියතයක් ලෙස අර්ථ දැක්වීම නරක අදහසක් වන්නේ ඇයි සහ ඇයි යන්න පිළිබඳ ගැටළු පැහැදිලි කිරීමට මට අවශ්‍යය .

වෙබ් අඩවියකට පහර දීමට බොහෝ ක්‍රම තිබේ. ස්ක්‍රිප්ට් එන්නත් කිරීම යනු වෙබ් අඩවියක් ඇල්ලීමට ඇති එක් ක්‍රමයක් පමණි.

සේවාදායකයාට අනාරක්ෂිත බවක් ඇතැයි උපකල්පනය කිරීමෙන් ප්‍රහාරකයාට මතක ඩම්ප් එකකට ප්‍රවේශ විය හැකිය. ප්‍රහාරකයා විසින් සියලු විචල්‍යයන්ගේ සියලු අගයන් මතකයේ දමනු ඇත. ඔබ ගෝලීයව ප්‍රවේශ විය හැකි නියතයක් අර්ථ දක්වන්නේ නම්, ස්ක්‍රිප්ට් එක අවසන් වන තුරු එය මතකයේ රැඳී සිටිය යුතුය. නියතයක් වෙනුවට විචල්‍යයක් නිර්මාණය කිරීම, විචල්‍යය තවදුරටත් අවශ්‍ය නොවන පසු කසළ එකතු කරන්නා මතකය නැවත ලිවීමට (හෝ නිදහස්) හොඳ අවස්ථාවක් තිබේ.

සංවේදී දත්ත ආරක්ෂා කිරීමට වඩා හොඳ ක්‍රමයක් නම් එය භාවිතා කළ වහාම ඒවා මකා දැමීමයි:

$db_con = new stdClass();
$db_con->db_user = 'username';
$db_con->password = 'password';
$db_con->host = 'localhost';

$db_handler = new Database_Handler( $db_con );

$db_con = null;

සංවේදී දත්ත භාවිතා කිරීමෙන් පසුව, පැවරීම nullමඟින් මතකයේ ඇති දත්ත නැවත ලියනු ලැබේ. $db_conසංවේදී දත්ත අඩංගු මොහොතේම ප්‍රහාරකයෙකුට මතක ඩම්ප් ලබා ගත යුතුය . ඉහත උදාහරණයේ එය ඉතා කෙටි කාලයකි (පංතියේ දත්ත සමුදාය_ හැන්ඩ්ලර් එහි පිටපතක් සුරැකෙන්නේ නැත්නම්).

රැල්ෆ් 912
source
මෙම ප්‍රතිචාරය සෘජුවම ප්‍රශ්නයට ආමන්ත්‍රණය නොකරයි. ඕනෑම ප්ලගීන කතුවරයෙකුට ඔවුන්ගේ කේතය ස්ථාපනය කිරීමට හා අනිෂ්ට චේතනාවක් ඇති බවට ඔවුන් ඒත්තු ගැන්වුවහොත් වර්ඩ්ප්‍රෙස් සමඟ ක්ෂේත්‍ර දිනයක් ගත කළ හැකිය. එය ඔබගේ පද්ධතියේ කැමැත්තෙන් වෛරසයක් ස්ථාපනය කිරීමට වඩා වෙනස් නොවේ. Wp-config.php චලනය නොකිරීමේ මෙම තර්කය අර්ථ විරහිත ය. මෙය හරියට ඔබේ මෝටර් රථයේ හිතාමතාම කාර් බෝම්බයක් සවි කිරීමෙන් කාර් එලාම් සැකසීමෙන් පලක් නොවන බව පැවසීම වැනිය. තාක්ෂණික වශයෙන් සත්‍ය නමුත් WTF?!?
ලාන්ස් ක්ලීව්ලන්ඩ්
2
නැත, එය අර්ථ විරහිත නොවේ. ප්‍රශ්නය වන්නේ: wp-config.php සැඟවීමෙන් මට දත්ත සමුදා ගිණුම ආරක්ෂා කළ හැකිද? පිළිතුර පැහැදිලිවම ය: නැත. 'කාර් එලාම් එකකින් කාර් බෝම්බ වලින් මගේ මෝටර් රථය ආරක්ෂා කර ගත හැකිද?' දත්ත සමුදා ප්‍රවේශය හෝ ftp ප්‍රවේශය ආරක්ෂා කිරීම සඳහා ඔබේ wp-config සැඟවීමෙන් වෙනත් ප්‍රතිලාභයක් නොමැත. දෙකම ගෝලීය විෂය පථයට අයත් වේ. කේත එන්නත් නොකර ගෝලීය වර්‍ග වලට ප්‍රවේශ වීමට ප්‍රහාරකයන්ට තවත් ක්‍රම ඇති බව මට විශ්වාසයි.
රැල්ෆ් 912
මුල් ප්‍රශ්නයේ "wp-config.php සැඟවීමෙන් මට දත්ත සමුදා ගිණුම ආරක්ෂා කළ හැකිද" යන්න මා දකින්නේ නැත. මුල් ප්‍රශ්නය වූයේ "wp-config.php ගෙනයාම අර්ථවත්ද" යන්නයි. පිළිතුර ඇත්තෙන්ම ඔව්, IMO. එය හරියට ඔබ පිටතට යන විට ඔබේ ඉදිරිපස දොර අගුළු දැමිය යුතුදැයි විමසීම හා සමානයි. "යමෙකුට පහසුවෙන් කවුළුවක් බිඳ දමා කෙසේ හෝ ඇතුළට යා හැකිය, එබැවින් කරදර වන්නේ ඇයි" යනුවෙන් පැවසීම ප්‍රශ්නයේ මූලික කරුණට පිළිතුරු සපයන්නේ නැත. IMO ඇසූ ප්‍රශ්නය මෙයයි, "wp-config.php ගෙනයාමට අමතර වෑයමක් දැරීම වටී ද? එසේ කිරීමෙන් ලැබෙන ප්‍රතිලාභ මොනවාද?". ඔව්. අවම වශයෙන් එය කම්මැලි හැකර්වරුන්ගෙන් keep ත් කරයි.
ලාන්ස් ක්ලීව්ලන්ඩ්
2
වඩාත් සුලභ ආරක්ෂක හොඳම භාවිතයන්ගෙන් එකක් ... ඔබට ඉතා (ඉතා, ඉතා) වැදගත් කරුණක් මග හැරුණි: ප්‍රහාරකයා උනන්දු වන්නේ කුමක් සඳහාද? හා එය නොවේ ඔබ ඔබේ wp-config.php විලාසිතාවක් කෙසේද. ඔබේ wp-config හි ඔබ අර්ථ දක්වා ඇති අගයන් තුළ ප්‍රහාරකයෙකු අන්තර්ග්‍රහණය වේ. ඔබේ ආදර්ශය ඉදිරිපස දොරෙන් අල්ලා ගැනීම: ඔබේ wp-config සඟවා තැබීම ඔබේ ඉදිරිපස දොර අගුළු දමන්නාක් මෙනි, නමුත් ඔබේ රත්තරන් සියල්ලම උද්‍යානයේ ගබඩා කර තබන්න. Wp-config හි අර්ථ දක්වා ඇති සියලුම අගයන් ගෝලීයව අර්ථ දක්වා ඇත. එබැවින් ඒවා සියල්ලම wp-config වලින් පිටත ප්‍රවේශ විය හැකිය. ඔබ ඔබේ wp-config සඟවා ගත්තද, අගයන් තවමත් පවතී.
රැල්ෆ් 912
1
මම සිතන්නේ එය ගෙනයාමට පක්ෂව තර්ක කරන අය, ධාරකයේ ක්‍රියාත්මක වන අනෙකුත් PHP කේත වලට නිරාවරණය විය හැකි අවස්ථාවන්ට වඩා, HTTP ඉල්ලීමක් හරහා සරල පා text යෙන් wp-config.php පෙන්විය හැකි අවස්ථා වලින් ආරක්ෂා වීමට උත්සාහ කරන බවයි.
ඉයන් ඩන්
-1

ආරක්ෂක ප්‍රතිලාභ වලට අමතරව, ඔබේ වර්ඩ්ප්‍රෙස් උදාහරණය අනුවාද පාලනය යටතේ තබා ගැනීමටත්, මූලික වර්ඩ්ප්‍රෙස් ලිපිගොනු උප මොඩියුලයක් / බාහිර ලෙස තබා ගැනීමටත් එය ඉඩ දෙයි. මාර්ක් ජැකිත් සිය වර්ඩ්ප්‍රෙස්-ඇටසැකිල්ල ව්‍යාපෘතිය සකසා ඇත්තේ එලෙසිනි. වැඩි විස්තර සඳහා https://github.com/markjaquith/WordPress-Skeleton#assumptions බලන්න.

එම්සෝ
source
8
ඔහු එය ලේඛන මූලයේ පිහිටුවා ඇත, එයින් පිටත නොවේ, එබැවින් එය මෙම ප්‍රශ්නයට අදාළ නොවේ. වර්ඩ්ප්‍රෙස් ස්ථාපන ෆෝල්ඩරයට ඉහළින් එක් ඩිරෙක්ටරියක් පමණක් නොව, ඔබ wp-config.phpඑක් ඩිරෙක්ටරියක් වොස්ට්ගේ ලේඛන මූලයට ඉහළින් ගෙන යන බව ප්‍රශ්නය ඇසූ තාක්‍ෂණය මඟින් නියම කරයි . සමස්ත කරුණ වන්නේ HTTP ඉල්ලීම් මඟින් කියවිය හැකි ෆෝල්ඩරයෙන් පිටත එය ලබා ගැනීමයි.
ඉයන් ඩන්
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.