Contraseña en wp-config. ¿Peligroso?

Question

Contraseña en wp-config. ¿Peligroso?

#1 de mrwweb (14 votos)
#2 de MathSmath (8 votos)
#3 de Simon (2 votos)
#4 de Nick (2 votos)
#5 de Otto (0 votos)

9

Todavía no conozco mucho Wordpress, y me pregunto:

Antes de la instalación, debe completar los datos correctos en wp-config-sample.php , pero esto también incluye la contraseña de la base de datos. ¿No es eso peligroso? Quiero decir, ¿alguien puede explicar cómo está protegido esto de solo leer el archivo y obtener la contraseña de su base de datos?

wp-config

pregunta Bram Vanroy 29.05.2012 - 18:45

5 respuestas

8

Para justificar el mantenimiento de su archivo de configuración un nivel superior al de la raíz web (como sugirió mrwweb): hace unos meses, una actualización automática en un servidor de producción nuestro php muerto, pero se fue apache corriendo. Así que a todos los que venían a la página de inicio se les ofrecía index.php como descargar . En teoría, cualquiera que supiera que era un sitio de WordPress podría haber solicitado wp-config.php y haberlo recibido (si hubiera estado en la raíz de la web). Por supuesto, solo podrían usar esas credenciales de base de datos si permitiéramos las conexiones remotas de MySQL, pero aún así, no está bien. Me doy cuenta de que esto es un caso marginal, pero es tan fácil mantener su configuración fuera de la vista, ¿por qué no hacerlo?

respondido por el MathSmath 30.05.2012 - 04:13

2

A menos que alguien tenga acceso a través de FTP, no debe preocuparse por esto. PHP se procesa en el servidor antes de que llegue al navegador de los usuarios.

respondido por el Simon 29.05.2012 - 18:51

2

Aquí hay otro consejo: protege wp-config.php (y cualquier otro archivo sensible) con .htaccess

Agregue lo siguiente a un archivo .htaccess en el directorio de su sitio donde se encuentran todos los demás archivos de WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

de Cómo fortalecer su instalación de WordPress

respondido por el Nick 16.08.2018 - 02:27

0

Si alguien tiene acceso para leer el contenido de sus archivos Php, ya ha sido hackeado.

respondido por el Otto 30.05.2012 - 03:07

Lea otras preguntas en las etiquetas wp-config

¿Se debería pasar la salida HTML a través de esc_html () Y wp_kses ()? tienda WooCommerce con ~ 30,000 productos [cerrado]

score 14 · Accepted Answer

La página "Hardening WordPress" del Codex contiene una sección en "Asegurar wp-config.php" . Incluye cambiar los permisos a 440 o 400. También puede mover el directorio wp-config un directorio hacia arriba desde la raíz si la configuración del servidor lo permite.

Por supuesto, existe el peligro de tener un archivo con la contraseña como esta si alguien tiene acceso a su servidor, pero, honestamente, en ese momento ya están en su servidor.

Finalmente, no tienes mucha opción. Nunca he visto un medio alternativo de configurar WordPress. Puede bloquearlo todo lo que pueda, pero así se construye WordPress, y si se tratara de una amenaza de seguridad grave , no lo harían de esa manera.