Як захистити файл wp-config.php у WordPress

23

Від автора: в общем-то, WordPress – відносно проста в установці система, яку можна розгорнути в короткі терміни. Однак ви можете ненавмисно залишити вразливості для хакерів. У файлі «wp-config.php» зберігаються ключові налаштування вашого сайту на WP, і дуже важливо якомога сильніше захистити файл від сторонніх осіб. У цьому відео з курсу WordPress Secure Setup Guide ви дізнаєтеся, як максимально убезпечити файл wp-config.php.

Що зберігається у файлі wp-config.php

Якщо відкрити wp-config.php можна помітити, що там зберігається досить важлива інформація. По-перше, в ньому міститься вся введена вами інформація під час установки, яка дає доступ до бази даних.

Как защитить файл wp-config.php в WordPress

Тут можна знайти назву бази даних, ім’я користувача, пароль – все, що необхідно для входу в базу даних. Як ви розумієте, вкрай важливо захистити цей файл, тому що якщо хтось зможе прочитати його, то він отримає доступ до бази даних і зможе робити там все, що душі завгодно.

Йдемо далі, в цьому файлі зберігаються секретні ключі.

Как защитить файл wp-config.php в WordPress

Ці ключі потрібні для захисту вашого сайту. Ще нижче записаний префікс таблиць, який також захищає ваш сайт.

Как защитить файл wp-config.php в WordPress

Як захистити wp-config.php

Існує кілька кроків, які необхідно виконати, щоб убезпечити цей файл.

1. Генеруємо нові секретні ключі

Першим ділом ми згенеруємо нові секретні ключі. Для цього можна зайти на secret key generator від WP. Вам потрібно перейти за цим посиланням та оновити сторінку, перед вами будуть абсолютно нові ключі. Їх можна скопіювати в wp-config.php і замінити старі.

2. Переміщаємо wp-config.php

Тепер ми перемістимо наш файл. За замовчуванням він знаходиться в кореневій папці сайту. Якщо ваш сайт зберігається на основному домені, папка буде називатися «public HTML» або якось по-іншому, все залежить від того, як ви писали сайт. WP дозволяє перемістити файл конфігурацій на один рівень вище, щоб він не зберігався в публічній папці.

Якщо ви працюєте офлайн, можете просто перетягнути файл мишкою. Якщо ж сайт вже працює в мережі, можете скористатися інструментом переміщення у файловому менеджері. Виберіть файл wp-config.php натисніть перемістити, та виберіть нову папку.

Якщо з першого разу не вийшло, можете поговорити з хостинг-провайдером і дізнатися у нього, дозволяють налаштування сервера переміщувати файл на рівень вище.

3. Забороняємо доступ до wp-config.php

Залишилося зробити ще один крок для захисту wp-config.php. Нам потрібно створити файл htaccess в тій же папці, де знаходиться файл конфігурацій, щоб заборонити всім доступ до wp-config.php.

Створіть файл htaccess в тій же папці, де лежить файл wp-config. Просто так створити файл без розширення не вийде, тому можна схитрувати.

Якщо ви на Mac створіть текстовий файл з ім’ям htaccess.txt. Потім перейменуйте файл, видаливши розширення і поставивши крапку перед назвою так, щоб вийшло .htaccess.

Ми ще не закінчили, тепер необхідно клікнути правою кнопкою миші на файлі в Finder’е, вибрати Get Info і обрізати розширення .txt в полі Name & Extension.

Тепер відкрийте файл в редакторі і скопіюйте в нього наступний код:

order allow,deny
deny from all

Цей код заборонить доступ до файлу wp-config.php.

Якщо ви на Windows, краще всього вбити код в файл, коли у нього ще розширення .txt, а потім перейменувати його і видалити частини з розширенням. На Windows цього досить, тепер завантажте файл .htaccess в потрібну папку.

Як закінчите, завантажте цей файл в ту ж папку, де зберігається файл конфігурацій і все!