Written by Roboby
玩wordpress博客空间的低胸们都知道,wp-config.php文件中记录了我们的wordpress使用的mysql数据库表名、用户、以及明晃晃的密码!
// ** MySQL 设置 - 具体信息来自您正在使用的主机 ** //
/** WordPress 数据库的名称 */
define('DB_NAME', 'xxxxxxxxxxxxxxxxxxxx');
/** MySQL 数据库用户名 */
define('DB_USER', 'xxxxxxxxxxxxxxxxxxxx');
/** MySQL 数据库密码 */
define('DB_PASSWORD', 'xxxxxxx明晃晃的密码xxxxxxxx');
/** MySQL 主机 */
define('DB_HOST', 'localhost');
/** 创建数据表时默认的文字编码 */
define('DB_CHARSET', 'utf8');
/** 数据库整理类型。如不确定请勿更改 */
define('DB_COLLATE', '');
如果不加限制,wp-config.php很容易就被黑客拿去下饭了。
不说别的,网络蜘蛛大家听说过吧?这东西在好人手里那是个好东西,但是在坏人手里,它就变得很邪恶了,它抓这个东西真是小菜一碟,看看下面的截图你就该汗汗了:
未加保护的wp-config.php文件,被网络蜘蛛爬到了
你如果在使用google的网络管理员工具,那么你可以进入管理,选择“像googlebot一样抓取”来模拟网络机器人抓取网页,几秒钟后返回:成功!
所以,我们必须把wp-config.php文件保护起来,如何保护呢?
我们的wordpress空间,也就是public_html目录下,也就是与wp-config.php文件同一个目录下,有个.htaccess文件,我们只要在最后面加入下面一段代码就OK了:
<files wp-config.php> order allow,deny deny from all </files>
结果是这样的:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
<files wp-config.php>
order allow,deny
deny from all
</files>
然后再把蜘蛛派出去抓抓看:
抓不着了吧?
相信低胸们的幼小心灵终于有了些许安慰了。。。。。。
发表评论