Contraseña en wp-config. ¿Peligroso?

10

Todavía no conozco mucho Wordpress, y me pregunto:

Antes de la instalación, debe completar los datos correctos, wp-config-sample.phppero esto también incluye la contraseña de la base de datos. ¿No es eso peligroso? Quiero decir, ¿alguien puede explicar cómo se protege esto de solo leer el archivo y así obtener la contraseña de su DB?

wp-config 
Bram Vanroy
fuente

Respuestas:

14

La página "Endurecimiento de WordPress" del Codex contiene una sección sobre "Protección de wp-config.php" . Incluye cambiar los permisos a 440 o 400. También puede mover el archivo wp-config un directorio hacia arriba desde la raíz si la configuración de su servidor lo permite.

Por supuesto, existe algún peligro de tener un archivo con la contraseña como esta si alguien tiene acceso a su servidor, pero, sinceramente, en ese momento ya están en su servidor.

Finalmente, no tienes muchas opciones. Nunca he visto un medio alternativo para configurar WordPress. Puede bloquearlo tanto como pueda, pero así es como se construye WordPress, y si fuera una amenaza de seguridad grave , no lo harían de esa manera.

mrwweb
fuente
Gracias por ese enlace! Puedo ver muchas precauciones de seguridad allí. ¿Debería uno aplicarlos todos? ¿O no es nada de eso realmente necesario?
Bram Vanroy
3
No sé si uno puede tener demasiada seguridad [bien implementada].
mrwweb
1
@mrwweb +1 para bien implementado *.
Richard
¿No es posible anular la inicialización de la base de datos creando un archivo db.php y configurando $ wpdb allí? Esto pasaría por alto el valor de configuración para la contraseña de la base de datos.
Paul Keister el
9

Para defender el mantenimiento de su archivo de configuración un nivel desde la raíz web (como sugirió mrwweb): hace unos meses, una actualización automática en un servidor de producción nuestro mató php pero dejó apache ejecutándose. Así que a todos los que visitaban la página de inicio se les ofrecía index.php como descarga . En teoría, cualquiera que supiera que era un sitio de WordPress podría haber solicitado wp-config.php y obtenerlo (si hubiera estado en la raíz web). Por supuesto, solo podrían usar esas credenciales de base de datos si permitiéramos conexiones MySQL remotas, pero aún así, no es genial. Me doy cuenta de que este es un caso marginal, pero es tan fácil mantener su configuración fuera de la vista, ¿por qué no hacerlo?

MathSmath
fuente
2

A menos que alguien tenga acceso a través de FTP, no necesita preocuparse por esto. PHP se procesa en el servidor antes de que llegue al navegador del usuario.

Simón
fuente
2

Aquí hay otro consejo: proteja wp-config.php (y cualquier otro archivo sensible) con .htaccess

Agregue lo siguiente a un archivo .htaccess en el directorio de su sitio donde se encuentran todos los demás archivos de WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

de Cómo fortalecer su instalación de WordPress

Mella
fuente
0

Si alguien tiene acceso para leer el contenido de sus archivos Php, ya ha sido pirateado.

Otón
fuente
1
o la configuración del servidor web se vio seriamente molesta hasta el punto de simplemente servir archivos .php como texto ;-)
KJH
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.