Página principal » Cómo » Aumentar la seguridad de WordPress moviendo wp-config.php a una carpeta no pública

    Aumentar la seguridad de WordPress moviendo wp-config.php a una carpeta no pública

    En caso de que no se haya conocido todavía, permítame presentarle su wp-config.php expediente. Si ejecuta un blog de WordPress.org auto-hospedado, su wp-config.php contiene su nombre de usuario de la base de datos MySQL, su contraseña de la base de datos MySQL, sus claves de autenticación de WordPress y otra información confidencial. Con esta información, un pirata informático o script kiddie obtiene acceso a cada parte del contenido de su blog de WordPress, dándoles rienda suelta para eliminar sus publicaciones, insertar códigos maliciosos, vínculos de retroceso a sitios pornográficos ilegales o cualquier otra cosa que deseen..

    De forma predeterminada, wp-config.php se encuentra en la misma carpeta que su blog de WordPress. Entonces, si la página de inicio de su blog está en mysite.com/blog, también lo está su wp-config.php. Eso no es tan imprudente como parece, ya que los archivos .php son scripts del lado del servidor que son procesados ​​por el servidor. Cuando está mirando un archivo .php, en realidad está mirando la salida del archivo. Lo mismo ocurre cuando ves la fuente. La única forma de descargar el código en bruto de un archivo .php es a través de FTP.

    Pero, el hecho de que normalmente no pueda acceder a un archivo .php no significa que siempre esté seguro ...

    Los accidentes ocurren, y existen vulnerabilidades. Si la configuración de PHP de su servidor web se descompone, sus tipos MIME no están configurados correctamente, o su servidor web está mal configurado, su página web podría terminar sirviendo texto plano en lugar de resultados PHP procesados; Esto es sólo algunos ejemplos. Y, al igual que en un mitin durante un mitin en el auditorio de la escuela secundaria, solo toma una fracción de segundo y, antes de que puedas recuperar tus bragas, han visto todo. Sí, lo han visto todo..

    En este groovyPost, te mostraré cómo mantener tu wp-config.php con los nombres de usuario y las contraseñas de la base de datos MySQL (r). Si bien ningún sitio web o blog es 100% ininteligible, este consejo rápido hará que hackear su blog de WordPress sea más difícil para los intrusos potenciales que un sitio que no haya tomado estas precauciones. Por lo general, ser más seguro que su vecino es suficiente para disuadir los esfuerzos de un posible pirata informático a un sitio que no sea el suyo. Recuerde, si alguna vez se encuentra en el bosque con un grupo de personas y aparece un oso, no tiene que correr más rápido que el oso, solo más rápido que las otras personas. (y dejando de lado las bromas, Bear Mace es tu mejor apuesta si alguna vez estás realmente en esa situación)

    Moviendo su archivo wp-config.php

    Con los permisos de archivo correctos y un servidor web configurado correctamente, mantener su archivo wp-config.php en la misma carpeta pública que el resto de su blog debería estar perfectamente bien. Pero, cuando se trata de proteger su sitio web, la seguridad es una cebolla (o Ogre aparentemente); Cuantas más capas, más de eso tienes..

    El Códice de WordPress afirma este sentimiento y recomienda que alejes tu wp-config.php de su ubicación de instalación predeterminada. Los blogs auto alojados de WordPress.org le permiten mover su wp-config.php un nivel desde la raíz de su blog. Eso está muy bien, pero para la mayoría de los servidores web, un nivel desde la raíz de su blog es todavía una carpeta public_html. Lo mejor es ponerlo en una carpeta que no sea un subdirectorio de su carpeta public_html o WWW. De esa manera, las posibilidades de que alguien lo alcance a través de un navegador web o cualquier otra aplicación HTTP son prácticamente nulas..

    Esto es lo que haces:

    Paso 1

    Acceda a su sitio WordPress.org a través de un programa FTP y navegue hasta la raíz.

    Paso 2

    Descarga wp-config.php a tu disco duro.

    Paso 3

    Renombrarlo a otro que no sea wp-config.php.

    Haz que sea algo sin sentido, así que alguien que se tropiece con eso (Quizás alguien que haya pirateado tu servidor compartido a través de SSH) Puede que no lo reconozca por lo que es. Entonces, en lugar de llamarlo "fuera de sitio-wordpress-config.php ” llámalo "futurama-fan-fic.php.”

    Etapa 4

    Suba su archivo wp-config.php renombrado a una carpeta sobre su carpeta public_html o www. Personalmente, creé un directorio completo para archivos de configuración fuera del sitio. Pero probablemente sea más seguro colocarlos en un lugar más aleatorio..

    Lo más importante es ponerlo. fuera de de tu www o carpeta public_html.

    Paso 5

    Abre el bloc de notas o tu otro editor PHP favorito.

    Cree un nuevo archivo wp-config.php que contenga solo el siguiente código:

    incluye ('/ home / usr / hobbies / futurama-fan-fic.php');
    ?>

    Reemplace el directorio aquí con la ubicación del servidor de su archivo wp-config.php renombrado. Tenga en cuenta que esta no es una URL, es una ruta relativa a la ubicación de su servidor. Entonces, haciéndolo:

    incluir ('www.yourdomain.com/location/futurama-fan-fic.php');

    no trabajará.

    Como probablemente se haya reunido, lo que esto hará es esencialmente crear un "atajo”A su archivo wp-config.php real. Entonces, si alguien piratea su archivo wp-config.php en su directorio de WordPress, todo lo que encontrarán es un archivo que apunta a otro archivo..

    Para divertirse, es posible que desee agregar un comentario que diga:

    // ¡Gracias Mario! Pero nuestra princesa está en otro castillo!

    Paso 6

    Suba su nuevo archivo wp-config.php a su raíz de WordPress. Sobrescribir el anterior (Lo respaldaste primero, a la derecha?).

    Paso 7

    ¡Eso es! Vaya a la raíz de su blog de WordPress.org para asegurarse de que funcionó.

    Si obtiene un error que dice:

    Advertencia: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: no se pudo abrir la transmisión: no existe tal archivo o directorio en/home/usr/public_html/blog.com/wp-config.php en linea 2

    Error fatal: Llamada a la función no definida wp () en /wp-blog-header.php en linea 14

    Entonces significa que usted escribió mal la ubicación del servidor en su archivo wp-config.php modificado. Si tiene problemas para determinar la ruta absoluta de su blog, cree un archivo .php con el siguiente código:

    Esto le mostrará la ruta absoluta para cualquier directorio en el que se encuentre el archivo y también le mostrará cómo moverse por encima de la carpeta public_html.

    Si recibe un mensaje de error que dice:

    No parece haber una wp-config.php expediente. Necesito esto antes de que podamos empezar. Necesitas más ayuda? Lo conseguimos. Puedes crear un wp-config.php archivo a través de una interfaz web, pero esto no funciona para todas las configuraciones de servidor. La forma más segura es crear manualmente el archivo..

    Entonces significa que no hay un archivo wp-config.php en su raíz de WordPress.org. Comprueba que hayas subido el archivo wp-config.php modificado a tu raíz de WordPress.org o la carpeta que se encuentra justo encima de él y el archivo wp-config.php renombrado a otra ubicación, en lugar de viceversa.

    Conclusión

    ¿Mover tu wp-config.php hará que tu blog sea a prueba de balas? Ciertamente no. Pero es solo uno de los pasos que puede tomar para hacer que su sitio web o blog sea más seguro. Y para mí, me ayuda a dormir mejor por la noche, como poner una cadena extra o un cerrojo en la puerta.

    Nota: antes de deshacerse de la estructura de archivos, asegúrese de hacer copias de seguridad y sentirse cómodo con lo que está haciendo. Podrías desordenar seriamente tu blog de WordPress si eliminas algo incorrecto. Has sido advertido.