Senha no wp-config. Perigoso?

10

Ainda não conheço muito o Wordpress e estou me perguntando:

Antes da instalação, é necessário preencher os dados corretos, wp-config-sample.phpmas isso também inclui a senha do banco de dados. Isso não é perigoso? Quero dizer, alguém pode explicar como isso é protegido, basta ler o arquivo e obter a senha do seu banco de dados?

wp-config 
Bram Vanroy
fonte

Respostas:

14

A página "Hardening WordPress" do Codex contém uma seção em "Protegendo o wp-config.php" . Isso inclui alterar as permissões para 440 ou 400. Você também pode mover o diretório wp-config para um diretório acima da raiz, se a configuração do servidor permitir.

É claro que há algum perigo em ter um arquivo com a senha como esta se alguém obtiver acesso ao seu servidor, mas, honestamente, nesse ponto eles já estão no seu servidor.

Finalmente, você não tem muita escolha. Eu nunca vi um meio alternativo de configurar o WordPress. Você pode bloqueá-lo o máximo que puder, mas é assim que o WordPress é construído, e se fosse uma séria ameaça à segurança, eles não o fariam dessa maneira.

mrwweb
fonte
Obrigado por esse link! Eu posso ver muitas precauções de segurança lá. Deve-se aplicar todos eles? Ou nada disso é realmente necessário?
Bram Vanroy
3
Não sei se é possível ter muita segurança [bem implementada].
Mrwweb
11
@mrwweb +1 para bem implementado *.
Richard
Não é possível substituir a inicialização do banco de dados criando um arquivo db.php e definindo $ wpdb lá? Isso ignoraria o valor de configuração da senha do banco de dados.
Paul Keister
9

Para defender seu arquivo de configuração em um nível acima da raiz da web (como sugerido pelo mrwweb): há alguns meses, uma atualização automática em um servidor de produção matou o php, mas deixou o apache em execução. Então, todos que acessavam a página inicial estavam recebendo o index.php como um download . Em teoria, qualquer um que soubesse que era um site WordPress poderia ter solicitado o wp-config.php e o obtido (se estivesse na raiz da web). Obviamente, eles só poderiam usar essas credenciais de banco de dados se permitíssemos conexões remotas do MySQL - mas ainda assim, não é legal. Sei que esse é um caso marginal, mas é tão fácil manter sua configuração fora de vista, por que não fazê-lo?

MathSmath
fonte
2

A menos que alguém tenha acesso via FTP, você não precisa se preocupar com isso. O PHP é renderizado no servidor antes de atingir o navegador dos usuários.

Simon
fonte
2

Aqui está outra dica: proteja o wp-config.php (e quaisquer outros arquivos confidenciais) com .htaccess

Adicione o seguinte a um arquivo .htaccess no diretório do seu site, onde estão localizados todos os outros arquivos do WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

de Como proteger sua instalação do WordPress

usuario
fonte
0

Se alguém tiver acesso para ler o conteúdo dos seus arquivos Php, você já foi invadido.

Otto
fonte
11
ou configuração do servidor web ficou seriamente borked ao ponto de apenas servir .php arquivos como texto ;-)
KJH
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.