Mot de passe dans wp-config. Dangereux?

10

Je ne connais pas encore beaucoup de Wordpress, et je me demande simplement:

Avant l'installation, vous devez remplir les données correctes, wp-config-sample.phpmais cela inclut également le mot de passe de la base de données. N'est-ce pas dangereux? Je veux dire, quelqu'un peut-il expliquer comment cela est protégé contre la simple lecture du fichier et ainsi obtenir le mot de passe de votre base de données?

Bram Vanroy
la source

Réponses:

14

La page "Hardening WordPress" du Codex contient une section sur "Sécuriser wp-config.php" . Cela inclut la modification des autorisations à 440 ou 400. Vous pouvez également déplacer le fichier wp-config d'un répertoire vers le haut depuis la racine si la configuration de votre serveur le permet.

Bien sûr, il existe un danger d'avoir un fichier avec le mot de passe comme celui-ci si quelqu'un a accès à votre serveur, mais, honnêtement, à ce moment-là, il est déjà sur votre serveur.

Enfin, vous n'avez pas vraiment le choix. Je n'ai jamais vu d'autre moyen de configurer WordPress. Vous pouvez le verrouiller autant que vous le pouvez, mais c'est ainsi que WordPress est construit, et s'il s'agissait d'une grave menace pour la sécurité, ils ne le feraient pas de cette façon.

mrwweb
la source
Merci pour ce lien! Je peux y voir beaucoup de mesures de sécurité. Doit-on tous les appliquer? Ou est-ce que rien de tout cela n'est vraiment nécessaire?
Bram Vanroy
3
Je ne sais pas si l'on peut jamais avoir trop de sécurité [bien implémentée].
mrwweb
1
@mrwweb +1 pour bien implémenté *.
Richard
N'est-il pas possible de remplacer l'initialisation de la base de données en créant un fichier db.php et en y paramétrant $ wpdb? Cela contournerait la valeur de configuration du mot de passe de la base de données.
Paul Keister
9

Pour justifier le maintien de votre fichier de configuration d' un niveau par rapport à la racine Web (comme l'a suggéré mrwweb): il y a quelques mois, une mise à jour automatique sur un de nos serveurs de production a tué php mais a laissé apache fonctionner. Ainsi, tout le monde venant sur la page d'accueil se voyait proposer index.php en téléchargement . En théorie, quiconque savait qu'il s'agissait d'un site WordPress aurait pu demander wp-config.php et l'obtenir (s'il avait été dans la racine Web). Bien sûr, ils ne pourraient utiliser ces informations d'identification de base de données que si nous autorisions les connexions à distance MySQL - mais toujours pas cool. Je me rends compte que c'est un cas de frange, mais il est si facile de garder votre configuration hors de vue, pourquoi ne pas le faire?

MathSmath
la source
2

À moins que quelqu'un n'ait accès via FTP, vous n'avez pas à vous en préoccuper. PHP est rendu sur le serveur avant qu'il ne touche le navigateur des utilisateurs.

Simon
la source
2

Voici une autre astuce: protégez wp-config.php (et tout autre fichier sensible) avec .htaccess

Ajoutez ce qui suit à un fichier .htaccess dans le répertoire de votre site où se trouvent tous les autres fichiers WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

de Comment durcir votre installation WordPress

pseudo
la source
0

Si quelqu'un a accès pour lire le contenu de vos fichiers Php, vous avez déjà été piraté.

Otto
la source
1
ou la configuration du serveur Web a été sérieusement bousculée au point de ne servir que des fichiers .php sous forme de texte ;-)
KJH