Z tego poradnika dowiesz się czym jest plik wp-config.php oraz dlaczego tak ważne są informacje, które on zawiera. Następnie pokażemy Ci jak samodzielnie zabezpieczyć platformę przenosząc wp-config.php do innej bezpieczniejszej lokalizacji.
Plik wp-config.php w WordPress
Na samym początku zanim przeniesiemy plik wp-config.php w inne miejsce zacznijmy od tego czym on jest i jakie informacje w sobie zawiera. Plik wp-config.php jak sama nazwa wskazuje zawiera podstawowe informacje na temat konfiguracji platformy. Oznacza to z kolei, że nie jest on dostępny w pliku instalacyjnym platformy, którą możesz pobrać np. z naszego działu WordPress Download.
Plik wp-config.php powstanie bowiem dopiero, gdy instalacja WordPress dobiegnie końca. Zostanie on wtedy umieszczony w głównym katalogu Twojej strony internetowej. Najczęściej będzie to więc katalog public_html, który jest domyślnym folderem dla domen zaparkowanych na serwerach z systemem Linux. Może to być jednak także każdy inny folder, który zawierać będzie wszystkie pliki i foldery niezbędne do działania systemu WordPress.
Plik wp-config.php tworzony jest z domyślnego szablonu, którego plik WordPress nosi nazwę wp-config-sample.php. Oznacza to bowiem, że po czystej instalacji WordPress plik wp-config.php zawierać będzie takie same jak on wiersze:
define( 'DB_NAME', 'database_name_here' );
Nazwa bazy danych WordPress.
define( 'DB_USER', 'username_here' );
Nazwa użytkownika bazy danych WordPress
define( 'DB_PASSWORD', 'password_here' );
Hasło użytkownika bazy danych WordPress.
define( 'DB_HOST', 'localhost' );
Host bazy danych WordPress.
define( 'DB_CHARSET', 'utf8' );
Kodowanie znaków w bazie danych WordPress.
define( 'DB_COLLATE’, ” );
Sposób porównywania i sortowania znaków w bazie danych WordPress.
define( 'AUTH_KEY', 'put your unique phrase here' ); define( 'SECURE_AUTH_KEY', 'put your unique phrase here' ); define( 'LOGGED_IN_KEY', 'put your unique phrase here' ); define( 'NONCE_KEY', 'put your unique phrase here' ); define( 'AUTH_SALT', 'put your unique phrase here' ); define( 'SECURE_AUTH_SALT', 'put your unique phrase here' ); define( 'LOGGED_IN_SALT', 'put your unique phrase here' ); define( 'NONCE_SALT', 'put your unique phrase here' );
Klucze bezpieczeństwa WordPress.
$table_prefix = 'wp_';
Prefiks bazy danych WordPress (przeczytaj jak zmienić prefiks tabeli bazy danych WordPress).
define( 'WP_DEBUG', false );
Wyłączanie debugowania WordPress (przeczyta o tym czym jest tryb debugowania w WordPress).
if ( ! defined( 'ABSPATH' ) ) {
define( 'ABSPATH', __DIR__ . '/' );
}
Absolutna ścieżka instalacji WordPress.
require_once ABSPATH . 'wp-settings.php';
Wczytywanie zawartości pliku wp-settings.php.
Pozostały kod to komentarz, który nie ma wpływu na działanie platformy i jest pomijany przez WordPress.
Oprócz tego plik wp-config.php może zawierać także dane dostępowe do serwera FTP, czy też konfigurację działania platformy oraz jej elementów. Można więc śmiało stwierdzić, że w pliku wp-config.php znajdują się wrażliwe i jednocześnie kluczowe do działania całej platformy informacje. Z tego powodu bardzo często błędy WordPress wynikają właśnie z wadliwej konfiguracji tego pliku. Z drugiej strony dostęp do zawartości pliku wp-config.php przez osoby postronne skutkować będzie poważnym naruszeniem bezpieczeństwa całego systemu, a i czasem także serwera. Taka sytuacja może mieć miejsce w wyniku infekcji WordPress, dlatego warto zabezpieczyć stronę i jej użytkowników na taką ewentualność.
Bezpieczeństwo WordPress a plik wp-config.php
W internecie znaleź możesz wiele poradników jak zabezpieczyć plik system WordPress i wp-config.php. Musisz jednak uwierzyć nam na słowo, że żaden z nich nie będzie skuteczny jeżeli nie korzysta z naszej porady. Najczęstszą polecaną metodą, która ma rzekomo zabezpieczyć plik wp-config.php przed dostępem osób niepowołanych jest zmiana jego uprawnień. Należy jednak tutaj podkreślić, że domyślne uprawnienia plików i katalogów WordPress są jak najbardziej poprawne, a pomimo tego jak pokazuje nasza praktyka nie jest to wystarczające zabezpieczenie pliku wp-config.php. W dodatku mogą one zostać na serwerze łatwo zmienione, a nawet zresetowane.
W tym momencie warto jeszcze raz przypomnieć Ci, że gdy tylko ktoś [lub coś] otrzyma dostęp do danych zawartych w pliku wp-config.php otrzyma m.in. możliwość:
📛 Nieograniczonego dostępu do bazy danych MySQL.
📛 Odczytanie wszystkich zaszyfrowanych za ich pomocą danych.
📛 Zmianę konfiguracji i sposobu działania platformy WordPress.
Chociaż więc plik wp-config.php nie służy bezpośrednio do wykonywania szkodliwego kodu, to jednak niezabezpieczony stanowi całkowitą podatność strony internetowej WordPress na różnego rodzaju ataki. Należy więc dołożyć jak największych starań, aby dostęp do niego był możliwy tylko i wyłącznie dla administratora strony oraz niezbędnych systemowych plików.
Poniżej poznasz więc jedyną skuteczną metodę, która pozwoli Ci przenieść plik wp-config.php do innej lokalizacji i zwiększyć bezpieczeństwo całego systemu.
Jak przenieść plik wp-config.php w WordPress
Jak już wspomnieliśmy, plik wp-config.php domyślnie znajduje się w głównym katalogu WordPress, co stanowi łatwy cel ataku. Istnieje jednak metoda, która pozwala zabezpieczyć go zarówno przed szkodliwym kodem jak i osobami, które w sposób niekontrolowany uzyskały pełen dostęp do Twojej strony internetowej.
Metoda ta może jednak okazać się nieskuteczna jeżeli Twoja strona została już zaatakowana lub został uzyskany dostęp do całego serwera.
Polega ona bowiem na przeniesieniu zawartości pliku wp-config.php do innej lokalizacji znajdującej się przynajmniej o jeden katalogu wyżej niż domyślnie. Takie rozwiązanie ma także inne korzyści, o których przeczytasz w dalszej części tego poradnika. Co musisz więc zrobić, aby przenieść plik wp-config.php? Postępuj krok po kroku zgodnie z poniższą instrukcją.
1. Wykonaj kopię pliku wp-config.php
W pierwszej kolejności pobierz plik wp-config.php na swój dysk, aby w razie problemów możliwe było jego łatwe przywrócenie. Możesz także wykonać pełną kopię zapasową strony korzystając z naszego poradnika Kopie zapasowe WordPress.
2. Przenieść plik wp-config.php do innej lokalizacji
Może być to dowolny folder, jednak musi znajdować się on co najmniej jeden katalog nad aktualną lokalizację. Jeżeli więc pełna ścieżka na serwerze pliku wp-config.php jest obecnie taka:
/home/siriuspro/domains/siriuspro.pl/public_html/wp-config.php
To warto dodać w folderze domeny nowy katalog zawierając losowy ciąg znaków np. Hxu64Xx180 i w nim umieścić plik wp-config.php:
/home/siriuspro/domains/siriuspro.pl/Hxu64Xx180/wp-config.php
Możesz także zmienić domyślną nazwę pliku wp-config.php na inną np. nlWDd9ro3I.php:
/home/siriuspro/domains/siriuspro.pl/Hxu64Xx180/nlWDd9ro3I.php
Praktycznie uniemożliwi znalezienie pliku przez szkodliwy kod.
3. Wczytaj plik wp-config.php z innej lokalizacji
Na sam koniec konieczne jest wczytanie pliku wp-config.php już z innej lokalizacji. W tym celu pobierz z naszego serwera zmieniony plik wp-config.php, a następnie w polu:
require_once(ABSPATH . '../public_html/wp-config.php');
Zmień na własną ścieżkę np.:
require_once(ABSPATH . '../Hxu64Xx180/nlWDd9ro3I.php');
Ostatecznie musisz wgrać go do głównego folderu WordPress w miejsce oryginalnego pliku. Ponadto jego nazwa musi pozostać niezmieniona, aby system mógł poprawnie odczytać za jego pomocą zmienioną lokalizację i nazwę pliku wp-config.php.
i to tyle ☺️ Jeżeli wszystko zostało zrobione poprawnie Twój WordPress powinien po tych zmianach działać tak jak wcześniej, ale być przy tym odpornym na:
🔰 Publiczny dostęp do pliku wp-config.php spoza serwera
🔰 Odczytanie danych pliku wp-config.php przez osoby niepowołane
🔰 Zmianę konfiguracji pliku wp-config.php przez szkodliwy kod
🔰 Ujawnienie tajnych kluczy WordPress oraz dostępu do bazy danych
🔰 Przypadkowe zmiany lub usunięcie pliku wp-config.php
Oczywiście plik wp-config.php może mieć dowolną nazwę i lokalizację nawet o kilka katalogów wyżej niż WordPress. Jednak, aby było to możliwe konieczny jest pełen dostęp do serwera, a czasem także zmiana konfiguracji open_basedir. To z kolei w skrócie mówiąc funkcja PHP zwiększająca bardzo mocno bezpieczeństwo serwera. Działa ona w taki sposób, że blokuje wykonywanie kodu plików PHP, które znajdują się poza katalogami dozwolonymi dla danego użytkownika. Jest ona bardzo często domyślne włączona na hostingu WordPress. Z tego powodu może okazać się, że nawet przeniesienie pliku wp-config.php o jeden folder wyżej sprawi, że Twoja strona internetowa przestanie działać. W takiej sytuacji musisz skontaktować się ze swoim usługodawcą lub też skorzystaj z naszej pomocy.
Jeżeli po zmianach wszystko działa poprawnie to właśnie udało Ci się zabezpieczyć stronę WordPress przed pewnymi atakami wymierzonymi w WordPress i plik wp-config.php. Jeżeli potrzebujesz więcej informacji na temat tego jak zabezpieczyć platformę WordPress to koniecznie przeczytaj także nasz poradnik Bezpieczeństwo WordPress.
Zabezpiecz z nami plik wp-config.php oraz WordPress
Ten poradnik całkowicie wyczerpuje temat ochrony pliku wp-config.php, ale jest jedynie wstępem do kwestii bezpieczeństwa całej platformy WordPress. Jeżeli zależy Ci na stronie, która będzie odporna na większość ataków oraz infekcji skorzystaj z pomocy naszych ekspertów. Skontaktuj się z nami, aby dowiedzieć się w jaki sposób możemy podnieść bezpieczeństwo Twojej strony WordPress nie tylko poprzez przeniesienie pliku wp-config.php.
Do usłyszenia niebawem 🖐