Pesquisando sobre Segurança no WP
Bom,
como sou fã dessa dica [ de 2004 ...] do XOOPS-TIPS.COM, venho pesquisando um pouco sobre o assunto visando incrementar a segurança no WordPress. Uma das evoluções mais interessantes do XOOPS, a meu ver, é exatamente a possibilidade de guardar dados [e páginas e etc] fora das pastas www ou public_html [ou htdocs], isto é, guardar informações fora da possibilidade de acesso direto por indivíduos mal intencionados.
Enquanto estava preparando os miniservers com WordPress, resolvi testar algumas dicas do www.xoops-tips.com. A primeira tentativa [tirar da web somente os dados sensíveis do wp-config, user, bd e senha, não foi bem sucedida. Tentei retirando todo o config... e não é que deu certo?
1º Determinando o path do seu WordPress:
Crie um arquivo php chamado wordpresspath.php com o seguinte conteúdo:
<?php
if ($_SERVER['PATH_TRANSLATED'])
{
$path = $_SERVER['PATH_TRANSLATED'];
}
else if ($_SERVER['SCRIPT_FILENAME'])
{
$path = $_SERVER['SCRIPT_FILENAME'];
}
else
{
echo ‘Desculpe, mas o script não consegue determinar o path da sua instalação.’;
exit;
}
$path = str_replace(array(‘\\’, ‘//’), array(‘/’, ‘/’), $path);
echo substr($path, 0, (strlen($path) – 18));
?>
Faça o upload do arquivo para onde seu blog está instalado [na mesma pasta onde está o wp-config]. Execute no navegador. O resultado que você verá é o path do seu WordPress.
2º Crio um arquivo wp-config.php para substituir o wp-config original
Um arquivo de fato muito simples, apenas uma linha ... onde o importante é não errar o path.
O arquivo que criei para a situação acima, foi ...
<?php require_once('C:/XAMPPWP/BASE/DEV/xampplite/seguro/wp-config.php') ?>
Onde eu havia criado a pasta /seguro/ no mesmo nível que htdocs, isto é, fora da WEB. Veja a figura com a estrutura de pastas abaixo:
Atente para que o wp-config "de fato" está dentro da pasta /seguro/ ... veja:
De fato, a maneira correta para o arquivo é :
<?php require_once('/home/path/server/pastaforadaweb/wp-config.php') ?>
3º Substitua o wp-config e pronto!
Claro que TODA a operação deve ser precedida de backup - especialmente o seu precioso wp-config.
Importante: o wordpresspath foi somente ajustado do arquivo forumpath que você encontra em www.vbadvanced.com . Créditos então ao autor.
Finalizando ...
Acredito que valha a pena a visita [e leitura atenta] a dois sites:
- http://www.josiahcole.com/2007/07/11/almost-perfect-htaccess-file-for-wordpress-blogs/ , que o autor passa o pente fino no htaccess para incrementar a proteção e,
- http://www.devlounge.net/code/protect-your-wordpress-wp-config-so-you-dont-get-hacked em que o autor ajusta [provavelmente com sucesso] seu wp-config.
Abraços!
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=f91d3f15-4a1b-4c4e-a21a-9d901a2cad35)
Related posts:
- Projeto WAMP e WordPress Contruindo uma WEB mais fácil : WAMP do Uniform Server...
- Para integrar o bbPress com WordPress Caminhos para integração Wordpress/bbPress...
- Novo vídeo-tutorial [Poedit] Primeiro vídeo-tutorial para utilizar Poedit...
- GIMP: acrescentando GhostScript Quer abrir arquivos .eps [postscript] usando Gimp no seu Windows?...
- Ian Stewart na Automattic Ian Stewart de mudança para a Automattic...
Posts relacionados trazidos a você pelo Yet Another Related Posts Plugin.
Comparativo de bugtrackers Vale o bookmark pra wikipedia … Veja aqui! Abraços Related posts:Wiki Uniform Server Voltanto ao Projeto WU... Icons free Set de ícones em formato PNG e boa indicação de... Posts relacionados trazidos a você pelo Yet Another Related Posts Plugin.
Mozy : Backup Online Uma ferramenta para backup online que parece muito boa é esta – com conta free … à conferir https://mozy.com/home/features/ Outra interessante – pela quantidade/preço do espaço – é a na Softlayer [clique] *não tem as ferramentas de gerenciamento, mas pode ser uma boa saída Related posts:Procurando Project Manager online Primeiras observações [...]
Voltanto ao Projeto WU
Site Flash para Fotógrafos. Free!
Plugin para visualizar PPT e PDF no seu site com WordPress
Vale a conferida!
Será que manter a senha no wp-config.php é perigoso? Em quais casos essa senha poderia ser roubada? Será que todas as instalações de wordpress estão equivocadas em relação a segurança de dados???
Caro Felipe
Em primeiro lugar obrigado pelo comentário. Veja. a questão já havia sido levantada em 2007 no site devlounge [tem o link ai em cima], com uma proposta de solução. Me parece que toda e qualquer informação que possa ser acessada diretamente está exposta. E dados sensíveis como as informações do banco de dados facilitam a vida de mal intencionados [é com hifen?].
Claro que existem razões para deixar no diretorio www – facilidade de atualização deve ser uma delas.
De qualquer forma é uma boa discussão
Abraços
Beduino