WordPress 密碼在 wp-config 。危險嗎？

問題描述

我不知道很多 Wordpress，而我只是想知道：

在安裝之前，您必須在 wp-config-sample.php 中填寫正確的資料，但這也包括資料庫密碼。不是那麼危險嗎？我的意思是，有人可以解釋一下，如何保護您免於讀取檔案，從而獲取資料庫的密碼？

最佳解決方案

食品法典的”Hardening WordPress” 頁面包含一個關於“Securing wp-config.php” 的部分。它包括將許可權更改為 440 或 400. 如果伺服器配置允許，還可以從根目錄移動 wp-config 檔案一個目錄。

當然，如果有人訪問您的伺服器，有一個使用密碼的檔案有一些危險，但是老實說，他們已經在你的伺服器上了。

最後，你沒有太多的選擇。我從來沒有看到配置 WordPress 的替代方法。您可以儘可能多地鎖定它，但這是 WordPress 的構建方式，如果它是一個嚴重的安全威脅，他們不會這樣做。

次佳解決方案

為了使您的配置檔案保持一級從 Web 根目錄 (如 mrwweb 建議)：幾個月前，我們的一個生產伺服器上的一個自動更新殺死了 php，但是 apache 正在執行。所以每個來到主頁的人都在提供 index.php 作為下載。在理論上，任何知道這個 WordPress 網站的人都可以請求 wp-config.php，並得到它 (已經在網路根目錄下) 。當然，如果我們允許遠端 MySQL 連線，他們只能使用這些資料庫憑據，但仍然不太酷。我意識到這是一個邊的情況，但是很容易保持你的配置不可見，為什麼不這樣做？

參考文獻

• Password in wp-config. Dangerous?

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。