Je ne connais pas encore beaucoup Wordpress, et je me demande simplement:
Avant l'installation, vous devez renseigner les données correctes dans wp-config-sample.php
, mais cela inclut également le mot de passe de la base de données. N'est-ce pas dangereux? Je veux dire, quelqu'un peut-il expliquer comment cela est protégé contre la lecture du fichier et l'obtention du mot de passe de votre base de données?
La page "Renforcement de WordPress" du Codex contient une section sur "Sécurisation de wp-config.php" . Cela inclut la modification des autorisations sur 440 ou 400. Vous pouvez également déplacer le fichier wp-config d'un répertoire à partir de la racine si la configuration de votre serveur le permet.
Bien sûr, il existe un certain danger à avoir un fichier avec le mot de passe comme celui-ci si quelqu'un a accès à votre serveur, mais honnêtement, il se trouve déjà sur votre serveur.
Enfin, vous n'avez pas beaucoup de choix. Je n'ai jamais vu d'autre moyen de configurer WordPress. Vous pouvez le verrouiller autant que vous le pouvez, mais c'est comme cela que WordPress est construit et s'il s'agissait d'une menace sérieuse sécurité, ils ne le feraient pas de cette façon.
Pour plaider en faveur de la conservation de votre fichier de configuration un niveau supérieur à celui de la racine Web (comme suggéré par mrwweb): il y a quelques mois, une mise à jour automatique sur l'un de nos serveurs de production php tué mais Apache tournait. Ainsi, tout le monde qui se rendait sur la page d'accueil se voyait proposer index.php sous la forme d'un download . En théorie, toute personne sachant qu'il s'agissait d'un site WordPress aurait pu demander wp-config.php, et l'obtenir (si cela avait été dans la racine Web). Bien sûr, ils ne pourraient utiliser ces informations de connexion à la base de données que si nous autorisions les connexions MySQL distantes - mais ce n’est pas cool. Je réalise que c'est un cas marginal, mais il est si facile de garder votre configuration à l'abri des regards, pourquoi ne pas le faire?
Voici un autre conseil: protégez wp-config.php (et tous les autres fichiers sensibles) avec .htaccess
Ajoutez les éléments suivants à un fichier .htaccess dans le répertoire de votre site, où se trouvent tous les autres fichiers WordPress:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
À moins que quelqu'un ait un accès via FTP, vous n'avez pas à vous en préoccuper. PHP est rendu sur le serveur avant qu'il ne frappe le navigateur de l'utilisateur.
Si quelqu'un a accès à la lecture du contenu de vos fichiers Php, vous avez déjà été piraté.