玩wordpress博客空间的低胸们都知道,wp-config.php文件中记录了我们的wordpress使用的mysql数据库表名、用户、以及明晃晃的密码!
// ** MySQL 设置 - 具体信息来自您正在使用的主机 ** // /** WordPress 数据库的名称 */ define('DB_NAME', 'xxxxxxxxxxxxxxxxxxxx'); /** MySQL 数据库用户名 */ define('DB_USER', 'xxxxxxxxxxxxxxxxxxxx'); /** MySQL 数据库密码 */ define('DB_PASSWORD', 'xxxxxxx明晃晃的密码xxxxxxxx'); /** MySQL 主机 */ define('DB_HOST', 'localhost'); /** 创建数据表时默认的文字编码 */ define('DB_CHARSET', 'utf8'); /** 数据库整理类型。如不确定请勿更改 */ define('DB_COLLATE', '');
如果不加限制,wp-config.php很容易就被黑客拿去下饭了。
不说别的,网络蜘蛛大家听说过吧?这东西在好人手里那是个好东西,但是在坏人手里,它就变得很邪恶了,它抓这个东西真是小菜一碟,看看下面的截图你就该汗汗了:

你如果在使用google的网络管理员工具,那么你可以进入管理,选择“像googlebot一样抓取”来模拟网络机器人抓取网页,几秒钟后返回:成功!
所以,我们必须把wp-config.php文件保护起来,如何保护呢?
我们的wordpress空间,也就是public_html目录下,也就是与wp-config.php文件同一个目录下,有个.htaccess文件,我们只要在最后面加入下面一段代码就OK了:
<files wp-config.php> order allow,deny deny from all </files>
结果是这样的:
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress <files wp-config.php> order allow,deny deny from all </files>
抓不着了吧?
相信低胸们的幼小心灵终于有了些许安慰了。。。。。。