让我大汗淋漓的wp-config.php文件——如何保护wp-config.php文件

玩wordpress博客空间的低胸们都知道,wp-config.php文件中记录了我们的wordpress使用的mysql数据库表名、用户、以及明晃晃的密码!

// ** MySQL 设置 - 具体信息来自您正在使用的主机 ** //
/** WordPress 数据库的名称 */
define('DB_NAME', 'xxxxxxxxxxxxxxxxxxxx');

/** MySQL 数据库用户名 */
define('DB_USER', 'xxxxxxxxxxxxxxxxxxxx');

/** MySQL 数据库密码 */
define('DB_PASSWORD', 'xxxxxxx明晃晃的密码xxxxxxxx');

/** MySQL 主机 */
define('DB_HOST', 'localhost');

/** 创建数据表时默认的文字编码 */
define('DB_CHARSET', 'utf8');

/** 数据库整理类型。如不确定请勿更改 */
define('DB_COLLATE', '');

如果不加限制,wp-config.php很容易就被黑客拿去下饭了。

不说别的,网络蜘蛛大家听说过吧?这东西在好人手里那是个好东西,但是在坏人手里,它就变得很邪恶了,它抓这个东西真是小菜一碟,看看下面的截图你就该汗汗了:

未加保护的wp-config.php文件,被网络蜘蛛爬到了

你如果在使用google的网络管理员工具,那么你可以进入管理,选择“像googlebot一样抓取”来模拟网络机器人抓取网页,几秒钟后返回:成功!

所以,我们必须把wp-config.php文件保护起来,如何保护呢?

我们的wordpress空间,也就是public_html目录下,也就是与wp-config.php文件同一个目录下,有个.htaccess文件,我们只要在最后面加入下面一段代码就OK了:

<files wp-config.php>
order allow,deny
deny from all
</files>

结果是这样的:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>

然后再把蜘蛛派出去抓抓看:

抓不着了吧?
相信低胸们的幼小心灵终于有了些许安慰了。。。。。。

发表评论

电子邮件地址不会被公开。