web-dev-qa-db-fra.com

La sécurisation de wp-config entraîne une fuite d'informations sensibles sur les paramètres wp

J'ai lu le tutoriel suivant, qui mentionne le déplacement de votre fichier de configuration hors d'un dossier accessible par HTTP.

http://codex.wordpress.org/Hardening_WordPress#Securing_wp-config.php

J'ai fait ça et ça marche bien. Et quand je visite http://mysite.com/wp-config.php , je vois une page blanche, comme prévu. Cependant, lorsque je visite http://mysite.com/wp-settings.php , le message d'erreur suivant s'affiche:

Avertissement: require (ABSPATHwp-includes/load.php) [function.require]: échec de l'ouverture du flux: aucun fichier ou répertoire de ce type dans/home/{mon nom d'utilisateur} /mysite.com/wp-settings.php à la ligne 19

Erreur fatale: require () [function.require]: ouverture infructueuse requise 'ABSPATHwp-includes/load.php' (include_path = '.:/Usr/local/lib/php:/usr/local/php5/lib/pear' ) dans/home/{mon nom d'utilisateur} /monsite.com/wp-settings.php à la ligne 19

WordPress et PHP sont nouveaux pour moi, mais pas pour la programmation. Évidemment, avoir le nom de mon utilisateur Shell affiché sur le Web si quelqu'un devait toucher mon fichier wp-settings est un non-non.

Alors, pouvez-vous avoir votre fichier de configuration hors du répertoire Web, comme je l’ai ici, sans fichiers tels que wp-settings, ce qui entraînerait une fuite des informations sensibles à l’écran? Est-ce que je vais à ce sujet tout faux?

1
Andy

Hm, le noyau WP, les fichiers meurent normalement s'ils sont ouverts directement. Il a probablement glissé les développeurs à inclure check dans celui-ci ou quelque chose du genre.

Les moyens simples pour résoudre ce problème (et pas vraiment spécifique à WP) seraient les suivants:

  • configurez PHP sur le serveur pour ne pas afficher les erreurs par défaut;
  • restreindre l'accès au fichier avec .htaccess ou d'autres moyens.
4
Rarst