Passwort in der wp-Konfig. Gefährlich?

Ich kenne noch nicht viele WordPress und ich frage mich nur:

Vor der Installation müssen Sie die korrekten Daten in wp-config-sample.php aber auch das databasepasswort. Ist das nicht gefährlich? Ich meine, kann jemand erklären, wie dies vor dem Lesen der Datei und damit das Passwort Ihrer DB geschützt ist?

Solutions Collecting From Web of "Passwort in der wp-Konfig. Gefährlich?"

Die “Hardening WordPress” Seite des Codex enthält einen Abschnitt über “Securing wp-config.php” . Sie können die Berechtigungen auf 440 oder 400 ändern. Sie können die wp-config-Datei auch um ein Verzeichnis vom Stammverzeichnis nach oben verschieben, wenn Ihre Serverkonfiguration dies zulässt.

Natürlich besteht eine gewisse Gefahr, eine Datei mit dem Passwort zu haben, wenn jemand Zugriff auf Ihren Server hat, aber zu diesem Zeitpunkt sind sie bereits auf Ihrem Server.

Schließlich haben Sie nicht viel Auswahl. Ich habe noch nie ein alternatives Mittel zur Konfiguration von WordPress gesehen. Du kannst es so gut wie möglich abschalten, aber so wird WordPress gebaut, und wenn es eine ernsthafte Sicherheitsbedrohung wäre, würden sie es nicht so machen.

Um dafür zu sorgen, dass Ihre Konfigurationsdatei eine Ebene höher als der Webstamm bleibt (wie mrwweb vorgeschlagen wurde): Vor ein paar Monaten hat ein automatisches Update auf einem Produktionsserver von uns php beendet, aber den Apache laufen lassen. Also wurde jedem, der auf die Homepage kam, index.php als Download angeboten . Theoretisch könnte jeder, der wusste, dass es sich um eine WordPress-Seite handelte, wp-config.php angefordert haben und es bekommen haben (wenn es im Web-Root gewesen wäre). Natürlich könnten sie diese DB-Zugangsdaten nur verwenden, wenn wir entfernte MySQL-Verbindungen zulassen – aber immer noch nicht cool. Ich weiß, dass dies ein Randfall ist, aber es ist so einfach, deine Konfiguration außer Sicht zu behalten, warum nicht?

Sofern nicht jemand über FTP erreichbar ist, brauchen Sie sich darüber keine Gedanken zu machen. PHP wird auf dem Server gerendert, bevor es den Browser des Benutzers trifft.

Wenn jemand Zugriff auf den Inhalt Ihrer PHP-Dateien hat, wurden Sie bereits gehackt.