সবচেয়ে সাধারণ নিরাপত্তা সর্বোত্তম কার্যাভ্যাস এই দিন এক হতে বলে মনে হয় চলন্ত wp-config.phpএকটি ডিরেক্টরী vhost দেখুন এর দলিল রুট বেশী । আমি এর জন্য সত্যিই কখনও ভাল ব্যাখ্যা খুঁজে পাইনি, তবে আমি ধরে নিচ্ছি যে এটি ওয়েবরূটের মধ্যে দূষিত বা সংক্রামিত স্ক্রিপ্টের ঝুঁকি হ্রাস করতে হবে ডাটাবেস পাসওয়ার্ড পড়া থেকে।

তবে, আপনাকে এখনও ওয়ার্ডপ্রেসটিকে এটি অ্যাক্সেস করতে দিতে হবে, সুতরাং open_basedirডকুমেন্টের মূলের উপরে ডিরেক্টরিটি অন্তর্ভুক্ত করার জন্য আপনাকে প্রসারিত করতে হবে। এটি কি পুরো উদ্দেশ্যটিকে পরাস্ত করে না, এবং আক্রমণকারীদের পক্ষে সার্ভার লগ, ব্যাকআপ ইত্যাদির সম্ভাব্যতাও প্রকাশ করে?

বা কৌশলটি কেবল এমন পরিস্থিতি রোধ করার চেষ্টা করছে যেখানে পিএইচপি ইঞ্জিনটি বিশ্লেষণের পরিবর্তে wp-config.phpঅনুরোধকারীকে সরল-পাঠ্য হিসাবে দেখানো হবে http://example.com/wp-config.php? এটি দেখতে খুব বিরল ঘটনা বলে মনে হচ্ছে এবং এটি এইচটিটিপি অনুরোধে লগ / ব্যাকআপ / ইত্যাদির বহিরাগত দিকের চেয়ে বেশি হবে না।

অন্য ফাইলগুলি প্রকাশ না করেই কিছু হোস্টিং সেটআপগুলিতে ডকুমেন্টের মূলের বাইরে এটি সরানো সম্ভব, তবে অন্যান্য সেটআপগুলিতে নয়?

উপসংহার: এই ইস্যুতে প্রচুর পিছিয়ে থাকার পরে, দুটি উত্তর উঠে এসেছে যে আমি মনে করি কর্তৃত্বমূলক বিষয় বিবেচনা করা উচিত। অ্যারন অ্যাডামস ডাব্লুপি-কনফিগারেশন সরানোর পক্ষে একটি ভাল কেস তৈরি করে এবং ক্রিসগুইটারগুইমা এর বিরুদ্ধে একটি ভাল কেস তৈরি করে । আপনি যদি থ্রেডে নতুন হন এবং পুরো জিনিসটি পড়তে চান না তবে এই দুটি উত্তর আপনার উচিত। অন্যান্য উত্তরগুলি হয় নিরর্থক বা ভুল।

সংক্ষিপ্ত উত্তর: হ্যাঁ

এই প্রশ্নের উত্তর একটি দ্ব্যর্থহীন হ্যাঁ , এবং অন্যথায় বলা সম্পূর্ণভাবে দায়িত্বজ্ঞানহীন ।

দীর্ঘ উত্তর: একটি বাস্তব-বিশ্বের উদাহরণ

আমার একেবারে সত্যিকারের সার্ভার থেকে আমাকে একটি বাস্তব উদাহরণ দেওয়ার অনুমতি দিন, যেখানে wp-config.phpওয়েবের মূলের বাইরে চলে যাওয়া নির্দিষ্টভাবে এর সামগ্রীগুলি ক্যাপচারে আটকানো থেকে রোধ করে ।

পোকাটি:

প্লেস্কে বাগের এই বিবরণটি একবার দেখুন (11.0.9 MU # 27 এ স্থির করা হয়েছে):

প্ল্যাস্ক হোস্টিং প্ল্যান (117199) এর সাথে সাবস্ক্রিপশন সিঙ্ক করার পরে সাবডোমেন ফরোয়ার্ডিং পুনরায় সেট করে

নির্দোষ মনে হচ্ছে, তাই না?

আচ্ছা, এই বাগটিটি ট্রিগার করতে আমি কী করেছি:

1. অন্য একটি URL এ পুনর্নির্দেশ করতে (যেমন কোন সাবডোমেন সেট আপ করুন site.staging.server.comথেকে site-staging.ssl.server.com)।
2. সাবস্ক্রিপশনের পরিষেবা পরিকল্পনা (যেমন পিএইচপি কনফিগারেশন) পরিবর্তন করেছে।

যখন আমি এটি করেছি, প্লেস্ক সাবডোমেনটিকে ডিফল্টগুলিতে পুনরায় সেট করুন: ~/httpdocs/কোনও দোভাষী (যেমন পিএইচপি) সক্রিয় না করে এর সামগ্রীগুলি সরবরাহ করে ।

আর আমি খেয়াল করিনি। সপ্তাহের জন্য.

ফলাফল:

• সঙ্গে wp-config.phpওয়েব রুট, একটি অনুরোধ /wp-config.phpওয়ার্ডপ্রেস কনফিগারেশন ফাইল ডাউনলোড হবে।
• wp-config.phpওয়েবের মূলের বাইরের সাথে , /wp-config.phpএকটি সম্পূর্ণরূপে ক্ষতিহীন ফাইল ডাউনলোড করার জন্য একটি অনুরোধ । আসল wp-config.phpফাইলটি ডাউনলোড করা যায়নি।

সুতরাং, এটি স্পষ্টত যে wp-config.phpওয়েব রুটের বাইরে চলে আসার ফলে সত্যিকারের বিশ্বে সুরক্ষা সুবিধা রয়েছে ।

wp-config.phpআপনার সার্ভারের যে কোনও স্থানে কীভাবে স্থানান্তরিত করবেন

ওয়ার্ডপ্রেসটি স্বয়ংক্রিয়ভাবে আপনার wp-config.phpফাইলের জন্য আপনার ওয়ার্ডপ্রেস ইনস্টলেশনের উপরে একটি ডিরেক্টরি দেখবে , তাই যদি আপনি এটি সরিয়ে নিয়ে যান তবে আপনি হয়ে গেছেন!

তবে আপনি যদি এটি অন্য কোথাও সরিয়ে নিয়েছেন? সহজ। wp-config.phpনিম্নলিখিত কোড সহ ওয়ার্ডপ্রেস ডিরেক্টরিতে একটি নতুন তৈরি করুন :

<?php

/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
    define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');

(উপরের পাথটি আপনার স্থানান্তরিত wp-config.phpফাইলের আসল পথে পরিবর্তন করতে ভুলবেন না ))

আপনি যদি কোনও সমস্যার মধ্যে পড়ে থাকেন তবে আপনার পিএইচপি কনফিগারেশনের নির্দেশকে open_basedirনতুন পথ যুক্ত করুন open_basedir:

open_basedir = "/var/www/vhosts/example.com/httpdocs/;/var/www/vhosts/example.com/phpdocs/;/tmp/"

এটাই!

বিপরীতে যুক্তি বাছাই করা

wp-config.phpওয়েবের মূলের বাইরে চলে যাওয়ার বিরুদ্ধে প্রতিটি যুক্তি মিথ্যা অনুমানের উপর জড়িত।

তর্ক 1: পিএইচপি যদি অক্ষম থাকে তবে তারা ইতিমধ্যে প্রবেশ করে

কেউ যদি কেবলমাত্র [ wp-config.php]] এর বিষয়বস্তুগুলি দেখার জন্য যাচ্ছেন তারা হ'ল যদি তারা আপনার সার্ভারগুলিকে পিএইচপি ইন্টারপ্রেটারকে বিঘ্নিত করে ... যদি তা ঘটে থাকে তবে আপনি ইতিমধ্যে সমস্যায় পড়েছেন: তাদের আপনার সার্ভারে সরাসরি অ্যাক্সেস রয়েছে।

মিথ্যা : আমি উপরে যে দৃশ্যের বর্ণনা দিয়েছি তা হ'ল অনুপ্রবেশ নয়, একটি ভুল কনফিগারেশনের ফলাফল।

তর্ক 2: দুর্ঘটনাক্রমে পিএইচপি অক্ষম করা বিরল, এবং তাই তুচ্ছ

যদি কোনও আক্রমণকারীর পিএইচপি হ্যান্ডলারটি পরিবর্তন করার পর্যাপ্ত অ্যাক্সেস থাকে তবে আপনি ইতিমধ্যে খারাপ হয়ে গেছেন। দুর্ঘটনাজনিত পরিবর্তনগুলি আমার অভিজ্ঞতায় খুব বিরল, এবং সেক্ষেত্রে পাসওয়ার্ডটি পরিবর্তন করা সহজ হবে।

মিথ্যা : উপরে বর্ণিত দৃশ্যটি হ'ল সার্ভার সফ্টওয়্যারটির একটি সাধারণ অংশে থাকা বাগের ফলস্বরূপ, একটি সাধারণ সার্ভার কনফিগারেশনকে প্রভাবিত করে। এটি খুব কমই "বিরল" (এবং এর বাইরে সুরক্ষা মানে বিরল দৃশ্যের জন্য উদ্বেগজনক)।

ডাব্লুটিএফ : অনুপ্রবেশের সময় সংবেদনশীল তথ্য যদি নেওয়া হয় তবে অনুপ্রবেশের পরে পাসওয়ার্ড পরিবর্তন করা খুব কমই সহায়তা করে। সত্যই, আমরা কি এখনও মনে করি যে ওয়ার্ডপ্রেসটি কেবল নৈমিত্তিক ব্লগিংয়ের জন্য ব্যবহৃত হয় এবং আক্রমণকারীরা কেবল পঙ্গুত্ব করতে আগ্রহী? আসুন আমাদের সার্ভারটি রক্ষা করার বিষয়ে চিন্তা করুন, কেউ প্রবেশ করার পরে এটি পুনরুদ্ধার করবেন না।

তর্ক 3: অ্যাক্সেস অস্বীকার wp-config.phpযথেষ্ট ভাল

আপনি আপনার ভার্চুয়াল হোস্ট কনফিগারেশনের মাধ্যমে ফাইলটিতে অ্যাক্সেসকে সীমাবদ্ধ করতে পারেন .htaccess- বা ডকুমেন্টের মূলের বাইরে যেমন চলতে পারে তেমন কার্যকরভাবে ফাইলের বাইরের অ্যাক্সেসকে সীমাবদ্ধ করতে পারেন।

মিথ্যা : একটি ভার্চুয়াল হোস্টের জন্য আপনার সার্ভারের ডিফল্টগুলি কল্পনা করুন: কোনও পিএইচপি, না .htaccess, allow from all(কোনও উত্পাদন পরিবেশে খুব কমই অস্বাভাবিক)। আপনার কনফিগারেশনটি যদি কোনও রুটিন অপারেশনের সময় কোনওভাবে পুনরায় সেট করা হয় - যেমন, বলুন, প্যানেল আপডেট করুন - সমস্ত কিছু তার ডিফল্ট অবস্থায় ফিরে আসবে এবং আপনি উন্মুক্ত হয়ে যাবেন।

দুর্ঘটনাক্রমে ডিফল্টগুলিতে সেটিংস পুনরায় সেট করার সময় যদি আপনার সুরক্ষা মডেল ব্যর্থ হয় তবে আপনার আরও সুরক্ষা প্রয়োজন।

ডাব্লুটিএফ : কেন কেউ বিশেষভাবে নিরাপত্তার কম স্তরগুলির সুপারিশ করবে? ব্যয়বহুল গাড়িগুলির কেবল তালা নেই; তাদের কাছে অ্যালার্ম, স্থাবর ও জিপিএস ট্র্যাকারও রয়েছে। যদি কোনও কিছুর সুরক্ষার উপযুক্ত হয় তবে এটি ঠিক করুন।

যুক্তি 4: অননুমোদিত অ্যাক্সেস wp-config.phpকোনও বড় বিষয় নয়

ডাটাবেস তথ্য হ'ল [ wp-config.php] এর মধ্যে একমাত্র সংবেদনশীল জিনিস ।

মিথ্যা : প্রমাণীকরণ কী এবং সল্টগুলি যে কোনও সংখ্যক সম্ভাব্য হাইজ্যাকিং আক্রমণে ব্যবহার করা যেতে পারে।

ডাব্লুটিএফ : এমনকি যদি ডাটাবেস শংসাপত্রগুলির মধ্যে কেবলমাত্র এক জিনিসই ছিল wp-config.php, তবে কোনও আক্রমণকারী তাদের হাত পেতে ভীত হওয়া উচিত ।

তর্ক 5: wp-config.phpওয়েব মূলের বাইরে সরানো আসলে একটি সার্ভারকে কম সুরক্ষিত করে

আপনাকে এখনও ওয়ার্ডপ্রেস অ্যাক্সেস করতে হবে [ wp-config.php], সুতরাং আপনাকে open_basedirডকুমেন্টের মূলের উপরে ডিরেক্টরি অন্তর্ভুক্ত করতে প্রসারিত করতে হবে।

মিথ্যা : ধরে নেওয়া যাক wp-config.phpরয়েছে httpdocs/, শুধু এটিকে সরান ../phpdocs/, এবং সেট open_basedirশুধুমাত্র অন্তর্ভুক্ত করা httpdocs/এবং phpdocs/। এই ক্ষেত্রে:

open_basedir = "/var/www/vhosts/example.com/httpdocs/;/var/www/vhosts/example.com/phpdocs/;/tmp/"

( /tmp/আপনার tmp/যদি থাকে তবে সর্বদা বা আপনার ব্যবহারকারীর ডিরেক্টরি অন্তর্ভুক্ত রাখতে ভুলবেন না ))

উপসংহার: কনফিগারেশন ফাইল সবসময় সবসময় উচিত সবসময় ওয়েব রুট বাইরে অবস্থিত করা

আপনি যদি সুরক্ষা সম্পর্কে চিন্তা করেন তবে আপনি wp-config.phpআপনার ওয়েবের মূলের বাইরে চলে যাবেন ।

সবচেয়ে বড় বিষয় হ'ল wp-config.phpকিছু সংবেদনশীল তথ্য রয়েছে: আপনার ডাটাবেস ব্যবহারকারীর নাম / পাসওয়ার্ড ইত্যাদি contains

সুতরাং ধারণা: এটি নথির মূলের বাইরে নিয়ে যান এবং আপনাকে কোনও কিছুর জন্য চিন্তা করতে হবে না। কোনও আক্রমণকারী কখনই বাহ্যিক উত্স থেকে সেই ফাইলটি অ্যাক্সেস করতে সক্ষম হবে না।

এখানে ঘষা আছে, তবে: wp-config.phpআসলে কখনও স্ক্রিনে কোনও কিছু প্রিন্ট করে না। এটি কেবলমাত্র বিভিন্ন ধ্রুবককে সংজ্ঞায়িত করে যা আপনার WP ইনস্টল জুড়ে ব্যবহৃত হয়। সুতরাং কেউ যদি সেই ফাইলটির বিষয়বস্তুগুলি দেখতে পাচ্ছে তবে তা হ'ল যদি তারা আপনার সার্ভারগুলি পিএইচপি ইন্টারপ্রেটারকে তুচ্ছ করে - তারা .phpকেবল সরল পাঠ্য হিসাবে রেন্ডার করার জন্য ফাইল পায় get যদি এটি ঘটে থাকে তবে আপনি ইতিমধ্যে সমস্যায় রয়েছেন: তাদের আপনার সার্ভারে সরাসরি অ্যাক্সেস রয়েছে (এবং সম্ভবত মূল অনুমতিগুলি) এবং তারা যা খুশি তা করতে পারে।

আমি এগিয়ে যাব এবং বলব যে ডকুমেন্টের মূলের বাইরে সুরক্ষা দৃষ্টিকোণ থেকে সরানোর কোনও সুবিধা নেইwp-config - উপরের কারণগুলির জন্য এবং এর জন্য:

1. আপনি আপনার ভার্চুয়াল হোস্ট কনফিগারেশন বা .htaccess- এর মাধ্যমে ফাইলটিতে অ্যাক্সেসকে সীমাবদ্ধ করতে পারেন - ডকুমেন্টের মূলের বাইরে চলে যাওয়ার মতোভাবে কার্যকরভাবে ফাইলের বাইরের অ্যাক্সেসকে সীমাবদ্ধ করতে পারেন
2. আপনি নিশ্চিত করতে পারেন যে wp-configকোনও ব্যবহারকারীর এসএসএইচ-এর মাধ্যমে আপনার সার্ভারে (সীমাবদ্ধ) অ্যাক্সেস অর্জন করার পরেও পর্যাপ্ত অধিকার ছাড়াই কোনও ফাইল পড়া থেকে বিরত রাখতে ফাইল অনুমতিগুলি কঠোর রয়েছে are
3. আপনার সংবেদনশীল তথ্য, ডাটাবেস সেটিংস, শুধুমাত্র একটি একক সাইটে ব্যবহৃত হয়। এমনকি কোনও আক্রমণকারী যদি সেই তথ্যে অ্যাক্সেস অর্জন করেও, তবে এটি প্রভাবিত করবে কেবলমাত্র সেই সাইটটি সেই wp-config.phpফাইলটির অন্তর্ভুক্ত ওয়ার্ডপ্রেস ইনস্টল । আরও গুরুত্বপূর্ণ, এই ডাটাবেস ব্যবহারকারীর কেবল সেই ডাব্লুপি ইনস্টল এর ডাটাবেসটি পড়ার এবং লেখার অনুমতি রয়েছে এবং অন্য কিছু নেই - অন্যান্য ব্যবহারকারীর অনুমতি দেওয়ার অনুমতি নেই to অর্থ, অন্য শব্দগুলিতে, যদি কোনও আক্রমণকারী আপনার ডাটাবেসে অ্যাক্সেস অর্জন করে তবে এটি ব্যাকআপ থেকে পুনরুদ্ধার করার বিষয়টি (পয়েন্ট 4 দেখুন) এবং ডাটাবেস ব্যবহারকারীর পরিবর্তনের বিষয়
4. আপনি প্রায়শই ব্যাকআপ করেন। প্রায়শই একটি আপেক্ষিক শব্দ হওয়া: আপনি যদি প্রতিদিন 20 টি নিবন্ধ পোস্ট করেন তবে আপনি প্রতিদিন বা প্রতি কয়েক দিন ভাল ব্যাক আপ পান। আপনি যদি সপ্তাহে একবার পোস্ট করেন তবে সপ্তাহে একবার ব্যাক আপ নেওয়া যথেষ্ট।
5. আপনার সংস্করণ নিয়ন্ত্রণের অধীনে আপনার সাইট রয়েছে ( এটির মতো ), যার অর্থ কোনও আক্রমণকারী যদি অ্যাক্সেস অর্জন করেও, আপনি সহজেই কোড পরিবর্তনগুলি সনাক্ত করতে পারেন এবং সেগুলি আবার রোল করতে পারেন। যদি কোনও আক্রমণকারীর অ্যাক্সেস থাকে তবে wp-configতারা সম্ভবত অন্য কোনও কিছুতে গণ্ডগোল করেছে।
6. ডাটাবেস তথ্য হ'ল এটি কেবলমাত্র সংবেদনশীল জিনিস wp-config, এবং কারণ আপনি এটি সম্পর্কে সতর্ক রয়েছেন (পয়েন্ট 3 এবং 4 দেখুন), এটি কোনও বিশাল চুক্তি নয়। সল্ট এবং এ জাতীয় যে কোনও সময় পরিবর্তন করা যেতে পারে। কেবলমাত্র এটি ঘটে এটি ব্যবহারকারীদের কুকিগুলিকে লগইন করে।

আমার কাছে, wp-configডকুমেন্টটি বাইরে নিয়ে যাওয়া সুরক্ষার দ্বারা অস্পষ্টতার দ্বারা সুরক্ষিত হয়েছে - যা খুব খড়ের মানুষ।

আমি মনে করি ম্যাক্স একটি জ্ঞানীয় উত্তর, এবং এটি গল্পটির এক দিক। ওয়ার্ডপ্রেস কোডেক্স আরো পরামর্শ রয়েছে :

এছাড়াও, নিশ্চিত হয়ে নিন যে কেবলমাত্র আপনি (এবং ওয়েব সার্ভার) এই ফাইলটি পড়তে পারেন (এর অর্থ সাধারণত 400 বা 440 অনুমতি রয়েছে)।

যদি আপনি .htaccess সহ কোনও সার্ভার ব্যবহার করেন তবে এটির জন্য সার্ফিং কারও অ্যাক্সেস অস্বীকার করতে আপনি এই ফাইলটিতে (একেবারে শীর্ষে) এটি রাখতে পারেন:

<files wp-config.php>
order allow,deny
deny from all
</files>

নোট করুন যে wp-config.php এ 400 বা 440 অনুমতি সেট করা প্লাগইনগুলিকে এতে লেখা বা পরিবর্তন করতে বাধা দিতে পারে। উদাহরণস্বরূপ একটি আসল কেসটি হ'ল, ক্যাচিং প্লাগইনগুলি (ডাব্লু 3 টোটাল ক্যাশে, ডাব্লুপি সুপার ক্যাশে, ইত্যাদি) সে ক্ষেত্রে আমি 600 ( /home/userডিরেক্টরিতে ফাইলগুলির জন্য ডিফল্ট অনুমতি ) নিয়ে যাব ।

কেউ আমাদের চকচকে করতে বলেছেন, এবং আমি এখানে উত্তর দেব।

হ্যাঁ, আপনার সাইটের মূল ডিরেক্টরি থেকে আপনার ডাব্লুপি-কনফিগারেশন.এফপি বিচ্ছিন্ন করার সুরক্ষা সুবিধা রয়েছে।

1- যদি আপনার পিএইচপি হ্যান্ডলারটি কোনওভাবে ভেঙে বা সংশোধিত হয়ে যায়, তবে আপনার ডিবি সম্পর্কিত তথ্য উন্মুক্ত হবে না। এবং হ্যাঁ, সার্ভার আপডেটের সময় আমি ভাগ করা হোস্টগুলিতে কয়েকবার এটি ঘটতে দেখেছি। হ্যাঁ, সেই সময়কালে সাইটটি ভাঙ্গা হবে তবে আপনার পাসওয়ার্ড অক্ষত থাকবে।

2- সর্বোত্তম অনুশীলনগুলি সর্বদা ডেটা ফাইল থেকে কনফিগারেশন ফাইলগুলি বিচ্ছিন্ন করার পরামর্শ দেয়। হ্যাঁ, ওয়ার্ডপ্রেস (বা কোনও ওয়েব অ্যাপ্লিকেশন) দিয়ে এটি করা শক্ত, তবে এটিকে সরানো কিছুটা বিচ্ছিন্নতা তৈরি করে।

3- পিএইচপি-সিজিআই দুর্বলতা মনে রাখবেন, যেখানে যে কোনও ফাইল? -এস কোনও ফাইলে পাস করতে পারে এবং উত্সটি দেখতে পারে। http://www.kb.cert.org/vuls/id/520827

শেষে, সেগুলি ছোট বিবরণ, তবে তারা ঝুঁকি হ্রাস করতে সহায়তা করে। বিশেষত যদি আপনি একটি ভাগ করা পরিবেশে থাকেন, যেখানে যে কেউ আপনার ডাটাবেস অ্যাক্সেস করতে পারে (তাদের যাবতীয় প্রয়োজন ব্যবহারকারী / পাস) need

তবে কোনও সাইটকে সঠিকভাবে সুরক্ষিত করার জন্য যা প্রয়োজন তা সামান্য বিঘ্ন (অকালীন অপ্টিমাইজেশান) এর সামনে না পেতে:

1- সর্বদা আপডেট রাখুন

2- শক্তিশালী পাসওয়ার্ড ব্যবহার করুন

3- অ্যাক্সেস সীমাবদ্ধ (অনুমতি মাধ্যমে)। এটি সম্পর্কে আমাদের এখানে একটি পোস্ট রয়েছে:

http://blog.sucuri.net/2012/08/wordpress-security-cutting-through-the-bs.html

ধন্যবাদ,

অবশ্যই হ্যাঁ.

যখন আপনি ডাব্লুপি-কনফিগারেশন। পিএফপি পাবলিক ডিরেক্টরিের বাইরে চলে যান যখন আপনি পিএইচপি হ্যান্ডলারটি দূষিতভাবে (বা দুর্ঘটনাক্রমে!) পরিবর্তিত হয়ে যায় তখন ব্রাউজার ব্যবহার করে এটি পড়া থেকে রক্ষা করেন।

আপনার ডিবি লগইন / পাসওয়ার্ড পড়া তখনই সম্ভব যখন পঙ্গু প্রশাসকের কোনও ত্রুটির মাধ্যমে সার্ভারটি খুব কমই সংক্রামিত হয়। প্রশাসককে জরিমানার জন্য চার্জ দিন এবং আরও ভাল-স্নেহযুক্ত এবং আরও নির্ভরযোগ্য সার্ভার হোস্ট পান। যদিও এটি আরও ব্যয়বহুল হতে পারে।

আমি কেবল তর্ক করার জন্য, আপনার wp_config.php ফাইলটি সরানোর অর্থ এই নয় যে আপনাকে কেবল প্যারেন্ট ডিরেক্টরিতে নিয়ে যেতে হবে। ধরা যাক আপনার / root / html এর মতো একটি কাঠামো রয়েছে, যেখানে এইচটিএমএলটিতে ডাব্লুপি ইনস্টলেশন এবং আপনার সমস্ত HTML সামগ্রী রয়েছে। Wp_config.php কে / রুটে স্থানান্তরিত করার পরিবর্তে, আপনি এটিকে / root / সুরক্ষার মতো কিছুতে স্থানান্তরিত করতে পারেন ... যা এইচটিএমএল ডিরেক্টরির বাইরেও সার্ভার রুট ডিরেক্টরিতে নয়। অবশ্যই, আপনার পিএইচপি এই সুরক্ষিত ফোল্ডারেও চলতে পারে তা নিশ্চিত করতে হবে।

যেহেতু ডাব্লুপি / রুট / সুরক্ষার মতো ভাইবোন ফোল্ডারে wp_config.php সন্ধানের জন্য কনফিগার করা যায় না, তাই আপনাকে একটি অতিরিক্ত পদক্ষেপ নিতে হবে। আমি wp_config.php কে / রুট / এইচটিএমএল এ রেখেছি এবং সংবেদনশীল অংশগুলি (ডাটাবেস লগইন, লবণ, টেবিল উপসর্গ) কেটে ফেলেছি এবং সেগুলি কনফিগার.এফপি নামে একটি পৃথক ফাইলে স্থানান্তরিত করেছি। তারপরে আপনি পিএইচপি includeকমান্ডটি আপনার wp_config.php এ যুক্ত করুন:include('/home/content/path/to/root/secure/config.php');

এটি মূলত আমি আমার সেটআপে করেছি। এখন, উপরোক্ত আলোচনার ভিত্তিতে, আমি এখনও মূল্যায়ন করছি এটি প্রয়োজনীয় কিনা এমনকি একটি ভাল ধারণাও। তবে আমি কেবল এটি যুক্ত করতে চেয়েছিলাম যে উপরের কনফিগারেশনটি সম্ভব। এটি আপনার ব্যাকআপ এবং অন্যান্য মূল ফাইলগুলি প্রকাশ করে না এবং যতক্ষণ না সুরক্ষিত ফোল্ডারটি তার নিজস্ব পাবলিক ইউআরএল দিয়ে সেটআপ না করা হয়, ততক্ষণ তা ব্রাউজযোগ্য নয়।

তদতিরিক্ত, আপনি এখানে একটি htaccess ফাইল তৈরি করে সুরক্ষিত ফোল্ডারে অ্যাক্সেস সীমাবদ্ধ করতে পারেন:

order deny,allow
deny from all
allow from 127.0.0.1

সেখানে অনেকগুলি খারাপ লিখিত থিম এবং প্লাগইন রয়েছে যা অ্যাটাক্কারদের কোড ইনজেক্ট করার অনুমতি দেয় (টিমথম্বের সাথে সুরক্ষার সমস্যাটি মনে রাখবেন)। আমি যদি আক্রমণকারী হয়ে থাকি তবে কেন আমি wp-config.php অনুসন্ধান করব? কেবল এই কোডটি ইনজেক্ট করুন:

var_dump( DB_NAME, DB_USER, DB_PASSWORD );

আপনি আপনার wp-config.php লুকাতে চেষ্টা করতে পারেন। যতক্ষণ ওয়ার্ডপ্রেস সমস্ত সংবেদনশীল তথ্যকে বিশ্বব্যাপী অ্যাক্সেসযোগ্য করে তুলবে ততক্ষণ ডাব্লুপি-কনফিগারেশন.এফপি লুকানোর কোনও সুবিধা নেই।

Wp-config.php এর খারাপ অংশটি এটি সংবেদনশীল ডেটা ধারণ করে না। সংবেদনশীল ডেটাটিকে বিশ্বব্যাপী অ্যাক্সেসযোগ্য ধ্রুবক হিসাবে সংজ্ঞায়িত করা খারাপ অংশ।

হালনাগাদ

আমি define()সংবেদনশীল ডেটাকে একটি আন্তর্জাতিক ধ্রুবক হিসাবে সংজ্ঞায়িত করা কেন খারাপ ধারণা তা নিয়ে সমস্যাগুলি পরিষ্কার করতে চাই।

কোনও ওয়েবসাইটে আক্রমণ করার অনেক উপায় রয়েছে are স্ক্রিপ্ট ইনজেকশন একটি ওয়েবসাইট অ্যাটাক করার একমাত্র উপায়।

ধরে নিচ্ছি যে সার্ভারটির একটি দুর্বলতা রয়েছে যা আক্রমণকারীকে একটি মেমরি ডাম্প অ্যাক্সেস করতে দেয়। আক্রমণকারী সমস্ত ভেরিয়েবলের সমস্ত মানকে মেমরির মধ্যে ফেলে দেবে। আপনি যদি কোনও গ্লোবাল অ্যাক্সেসযোগ্য ধ্রুবকটি সংজ্ঞায়িত করেন তবে স্ক্রিপ্টটি শেষ না হওয়া পর্যন্ত এটি স্মৃতিতে থাকতে হবে। একটি ধ্রুবকের পরিবর্তে পরিবর্তনশীল তৈরি করা, এমন একটি ভাল সম্ভাবনা রয়েছে যে আবর্জনা সংগ্রহকারী ভেরিয়েবলটির আর প্রয়োজন না হওয়ার পরে মেমরিটিকে মুছে ফেলবে (বা ফ্রি) will

সংবেদনশীল ডেটা সুরক্ষার জন্য আরও ভাল উপায় হ'ল এটি ব্যবহারের সাথে সাথে তা মুছে ফেলা:

$db_con = new stdClass();
$db_con->db_user = 'username';
$db_con->password = 'password';
$db_con->host = 'localhost';

$db_handler = new Database_Handler( $db_con );

$db_con = null;

সংবেদনশীল ডেটা ব্যবহার করার পরে, অ্যাসাইনিংটি nullমেমরিতে ডেটা ওভাররাইট করে। $db_conসংবেদনশীল ডেটা থাকা অবস্থায় কোনও আক্রমণকারীকে মুহুর্তের মধ্যেই মেমরি ডাম্প পেতে হয় । এবং এটি উপরের উদাহরণটিতে খুব অল্প সময় (যদি শ্রেণি ডাটাবেসহ্যান্ডলার এটির একটি অনুলিপি সংরক্ষণ না করে)।

সুরক্ষা সুবিধাগুলি ছাড়াও, কোর ওয়ার্ডপ্রেস ফাইলগুলিকে সাবমোডুল / বহিরাগত হিসাবে রাখার সাথে সাথে আপনার ওয়ার্ডপ্রেস উদাহরণটি ভার্সন নিয়ন্ত্রণের মধ্যে রাখতে দেয়। মার্ক জাকিথ এভাবেই তাঁর ওয়ার্ডপ্রেস-স্কেলটন প্রকল্পটি সেটআপ করেছেন। বিশদ জানতে https://github.com/markjaquith/WordPress- স্কেলটন# assumptions দেখুন ।