wp-config의 비밀번호 위험한?

나는 아직 많은 워드 프레스를 모른다. 그리고 나는 단지 궁금하다.

설치하기 전에 올바른 데이터를 입력해야 wp-config-sample.php하지만 여기에는 데이터베이스 비밀번호도 포함됩니다. 그렇게 위험하지 않습니까? 내 말은, 파일을 읽고 DB의 암호를 얻는 것으로부터 이것이 어떻게 보호되는지 설명 할 수 있습니까?

Codex의 "Hardening WordPress"페이지에는 "wp-config.php 보안" 섹션이 있습니다 . 권한을 440 또는 400으로 변경하는 것도 포함됩니다. 서버 구성에서 허용하는 경우 루트에서 wp-config 파일을 한 디렉토리 위로 이동할 수도 있습니다.

물론 누군가가 서버에 액세스 할 수 있다면 이와 같이 비밀번호를 가진 파일을 갖는 위험이 있지만, 솔직히 그 시점에 이미 서버에 있습니다.

마지막으로 선택의 여지가 없습니다. WordPress를 구성하는 대체 수단을 본 적이 없습니다. 가능한 한 많이 잠글 수 있지만 이것이 WordPress의 빌드 방식이며 심각한 보안 위협이라면 그렇게하지 않을 것입니다.

구성 파일을 웹 루트에서 한 단계 위로 올리려면 (mrwweb이 제안한 바와 같이) 몇 달 전에 프로덕션 서버의 자동 업데이트로 PHP가 종료되었지만 아파치가 계속 실행되었습니다. 따라서 홈페이지에 오는 모든 사람들은 index.php를 다운로드 로 제공 받았다 . 이론적으로 WordPress 사이트라는 것을 알고있는 사람은 wp-config.php를 요청하여 얻을 수 있습니다 (웹 루트에 있었던 경우). 물론 원격 MySQL 연결을 허용 한 경우에도 해당 DB 자격 증명 만 사용할 수 있지만 여전히 멋지지는 않습니다. 나는 이것이 프린지 인 경우를 알고 있지만 구성을 눈에 띄지 않게하는 것이 너무 쉽습니다. 왜하지 않습니까?

다른 사람이 FTP를 통해 액세스하지 않는 한, 이것에 대해 걱정할 필요가 없습니다. PHP는 사용자 브라우저에 도달하기 전에 서버에서 렌더링됩니다.

또 다른 팁은 다음과 같습니다. .htaccess로 wp-config.php 및 기타 중요한 파일을 보호하십시오.

다른 모든 WordPress 파일이있는 사이트 디렉토리의 .htaccess 파일에 다음을 추가하십시오.

<Files wp-config.php>
order allow,deny
deny from all
</Files>

에서 워드 프레스 설치를 강화하는 방법

누군가 Php 파일의 내용을 읽을 수있는 권한이 있다면 이미 해킹 된 것입니다.