WordPress 密码在 wp-config 。危险吗？

问题描述

我不知道很多 Wordpress，而我只是想知道：

在安装之前，您必须在 wp-config-sample.php 中填写正确的数据，但这也包括数据库密码。不是那么危险吗？我的意思是，有人可以解释一下，如何保护您免于读取文件，从而获取数据库的密码？

最佳解决方案

食品法典的”Hardening WordPress” 页面包含一个关于“Securing wp-config.php” 的部分。它包括将权限更改为 440 或 400. 如果服务器配置允许，还可以从根目录移动 wp-config 文件一个目录。

当然，如果有人访问您的服务器，有一个使用密码的文件有一些危险，但是老实说，他们已经在你的服务器上了。

最后，你没有太多的选择。我从来没有看到配置 WordPress 的替代方法。您可以尽可能多地锁定它，但这是 WordPress 的构建方式，如果它是一个严重的安全威胁，他们不会这样做。

次佳解决方案

为了使您的配置文件保持一级从 Web 根目录 (如 mrwweb 建议)：几个月前，我们的一个生产服务器上的一个自动更新杀死了 php，但是 apache 正在运行。所以每个来到主页的人都在提供 index.php 作为下载。在理论上，任何知道这个 WordPress 网站的人都可以请求 wp-config.php，并得到它 (已经在网络根目录下) 。当然，如果我们允许远程 MySQL 连接，他们只能使用这些数据库凭据，但仍然不太酷。我意识到这是一个边的情况，但是很容易保持你的配置不可见，为什么不这样做？

参考文献

• Password in wp-config. Dangerous?

注：本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意，可以加入我们改善翻译效果：薇晓朵技术论坛。