Mot de passe dans wp-config. Dangereux?

9

Je ne connais pas encore beaucoup Wordpress, et je me demande simplement:

Avant l'installation, vous devez renseigner les données correctes dans wp-config-sample.php , mais cela inclut également le mot de passe de la base de données. N'est-ce pas dangereux? Je veux dire, quelqu'un peut-il expliquer comment cela est protégé contre la lecture du fichier et l'obtention du mot de passe de votre base de données?

    
posée Bram Vanroy 29.05.2012 - 18:45

5 réponses

14

La page "Renforcement de WordPress" du Codex contient une section sur "Sécurisation de wp-config.php" . Cela inclut la modification des autorisations sur 440 ou 400. Vous pouvez également déplacer le fichier wp-config d’un répertoire vers le haut de la racine si la configuration de votre serveur le permet.

Bien sûr, si un fichier contenant le mot de passe de ce type présente un danger, si quelqu'un accède à votre serveur, il ne vous reste pas moins qu'il se trouve déjà sur votre serveur.

Enfin, vous n'avez pas beaucoup de choix. Je n'ai jamais vu d'autre moyen de configurer WordPress. Vous pouvez le verrouiller autant que vous le pouvez, mais voici comment WordPress est construit. S'il s'agissait d'une menace grave pour la sécurité, ils ne le feraient pas de cette façon.

    
réponse donnée mrwweb 29.05.2012 - 18:53
8

Pour justifier le maintien de votre fichier de configuration sur un niveau supérieur à celui de la racine Web (comme suggéré par mrwweb): il y a quelques mois, une mise à jour automatique sur l'un de nos serveurs de production php tué mais laissé Apache en cours d'exécution. Ainsi, tout le monde se rendant sur la page d'accueil se voyait proposer index.php en tant que téléchargement . En théorie, toute personne sachant qu'il s'agissait d'un site WordPress aurait pu demander à wp-config.php de l'obtenir (s'il avait été dans la racine Web). Bien sûr, ils ne pourraient utiliser ces informations de connexion à la base de données que si nous autorisions les connexions MySQL distantes - mais ce n’est pas cool. Je me rends compte que c’est un cas marginal, mais il est si facile de garder votre configuration à l’abri des regards, pourquoi ne pas le faire?

    
réponse donnée MathSmath 30.05.2012 - 04:13
2

À moins que quelqu'un ait un accès via FTP, vous n'avez pas à vous en préoccuper. PHP est rendu sur le serveur avant qu'il ne frappe le navigateur de l'utilisateur.

    
réponse donnée Simon 29.05.2012 - 18:51
2

Voici un autre conseil: protégez wp-config.php (et tous les autres fichiers sensibles) avec .htaccess

Ajoutez ce qui suit dans un fichier .htaccess situé dans le répertoire de votre site, où se trouvent tous les autres fichiers WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

de Comment renforcer votre installation WordPress

    
réponse donnée Nick 16.08.2018 - 02:27
0

Si quelqu'un a le droit de lire le contenu de vos fichiers Php, vous avez déjà été piraté.

    
réponse donnée Otto 30.05.2012 - 03:07

Lire d'autres questions sur les étiquettes