8
wp-configをWebルート外に移動することは本当に有益ですか?
最近の最も一般的なセキュリティのベストプラクティスの1つは、vhostのドキュメントルートより1つ上のディレクトリを移動wp-config.phpすることです。そのための良い説明を実際に見つけたことはありませんが、Webroot内の悪意のあるスクリプトまたは感染したスクリプトがデータベースのパスワードを読み取るリスクを最小限に抑えるためだと思います。 ただし、WordPressにアクセスさせる必要があるため、展開open_basedirしてドキュメントルートの上のディレクトリを含める必要があります。それは単に目的全体を無効にするだけでなく、サーバーログ、バックアップなどを攻撃者にさらす可能性もありませんか? または、技術は、PHPエンジンによって解析されるのではなく、wp-config.phpリクエストしている人にプレーンテキストとして表示される状況を防止しようとしているだけhttp://example.com/wp-config.phpですか?これはごくまれにしか発生しないように思われ、logs / backups / etcをHTTPリクエストにさらすことのマイナス面を上回ることはありません。 他のファイルを公開せずにホスティング設定でドキュメントルートの外に移動することは可能ですが、他の設定ではできませんか? 結論: この問題について何度も何度もやり直した後、2つの答えが出てきました。Aaron Adamsはwp-config の移動を支持して良いケースを作成し、chrisguitarguyはそれに対して良いケースを作成します。これらは、スレッドに不慣れで、すべてを読みたくない場合に読むべき2つの答えです。他の答えは、冗長または不正確です。