Защищаем сайт на WordPress с помощью файла wp-config.php
От автора: в общем-то, WordPress – относительно простая в установке система, которую можно развернуть в короткие сроки. Однако вы можете непреднамеренно оставить уязвимости для хакеров. В файле «wp-config.php» хранятся ключевые настройки вашего сайта на WP, и очень важно как можно сильнее защитить этот файл от посторонних лиц. В этом видео из курса WordPress Secure Setup Guide вы узнаете, как максимально обезопасить файл wp-config.php.
Что хранится в файле wp-config.php
Если открыть wp-config.php, можно заметить, что там хранится достаточно важная информация. Во-первых, в нем содержится вся вводимая вами информация во время установки, которая дает доступ к базе данных.
Здесь можно найти название базы данных, имя пользователя, пароль – все, что необходимо для входа в базу данных. Как вы понимаете, крайне важно защитить этот файл, потому что если кто-то сможет прочитать его, то он получит доступ к базе данных и сможет вытворять там все, что душе угодно.
Идем дальше, в этом файле хранятся секретные ключи.
Эти ключи нужны для защиты вашего сайта. Еще ниже записан префикс таблиц, который также защищает ваш сайт.
Как защитить wp-config.php
Существует несколько шагов, которые необходимо выполнить, чтобы обезопасить этот файл.
1. Генерируем новые секретные ключи
Первым делом мы сгенерируем новые секретные ключи. Для этого можно зайти на secret key generator от WP. Вам нужно перейти по этой ссылке и обновить страницу, перед вами будут абсолютно новые ключи. Их можно скопировать в wp-config.php и заменить старые.
2. Перемещаем wp-config.php
Теперь мы переместим наш файл. По умолчанию он находится в корневой папке сайта. Если ваш сайт хранится на основном домене, папка будет называться «public HTML» или как-то по-другому, все зависит от того, как вы писали сайт. WP позволяет переместить файл конфигураций на один уровень выше, чтобы он не хранился в публичной папке.
Если вы работаете офлайн, можете просто перетащить файл мышкой. Если же сайт уже работает в сети, можете воспользоваться инструментом перемещения в файловом менеджере. Выберите файл wp-config.php, нажмите переместить и выберите новую папку.
Если с первого раза не получилось, можете поговорить с хостинг-провайдером и узнать у него, позволяют ли настройки сервера перемещать файл на уровень выше.
3. Запрещаем доступ к wp-config.php
Осталось сделать еще один шаг для защиты wp-config.php. Нам нужно создать файл htaccess в той же папке, где находится файл конфигураций, чтобы запретить всем доступ в wp-config.php.
Создайте файл htaccess в той же папке, где лежит файл wp-config. Просто так создать файл без расширения не получится, поэтому можно схитрить.
Если вы на Mac, создайте текстовый файл с именем htaccess.txt. Затем переименуйте файл, удалив расширение и поставив точку перед названием так, чтобы получилось .htaccess.
Мы еще не закончили, теперь необходимо кликнуть правой кнопкой мыши на файле в Finder’е, выбрать Get Info и обрезать расширение .txt в поле Name & Extension.
Теперь откройте файл в редакторе и скопируйте в него следующий код:
<files wp-config.php> order allow,deny deny from all </files>
Этот код запретит доступ к файлу wp-config.php.
Если вы на Windows, лучше всего вбить код в файл, когда у него еще расширение .txt, а затем переименовать его и удалить части с расширением. На Windows этого достаточно, теперь загрузите файл .htaccess в нужную папку.
Как закончите, загрузите этот файл в ту же папку, где хранится файл конфигураций и все!