Sikring af wp-config.php

WordPress konfigurationsfil "wp-config.php" indeholder blandt andet brugernavn og adgangskode til WordPress-databasen. Det er meget vigtigt at denne fil beskyttes så godt som muligt - hvis først en hacker får mulighed for at læse indholdet af denne fil, så står hoveddøren til din WordPress installation vidt åben, uanset hvor omhyggelig du er med at vælge gode passwords.

Først og fremmest skal man sørge for at filrettighederne på wp-config.php er sat så restriktivt som muligt. Linux skelner mellem hvad ejeren af en fil kan gøre, hvad andre i samme gruppe som ejeren kan, og hvad resten af verden har lov til. På de fleste webhoteller skal man give ejeren af filen lov til at læse og skrive til wp-config.php, mens andre brugere i samme gruppe og resten af verden ingen rettigheder skal have. (Linux filrettigheder udtrykkes ofte som et trecifret tal. Læse-og skriverettigheder til ejeren og ingen adgang for andre svarer til tallet "600").

Typisk oprettes nye filer på et webhotel således at kun ejeren af filen kan skrive til den, mens alle brugere har læserettigheder (svarende til adgangsniveauet "644"). Hvis wp-config.php oprettes med disse filrettigheder, er det under visse omstændigheder muligt for at en anden kunde på webhotellet at læse indholdet af filen, så husk at ændre rettighederne når du laver en ny WordPress installation.

En anden faldgrube er at redigere wp-config.php med en editor der automatisk gemmer en kopi af den oprindelige fil med endelsen ".bak", ".org", eller tilsvarende. Normalt vil indholdet af filer der ender på ".php" ikke blive vist hvis man åbner dem i browseren, men hvis en fil ender på noget andet vil serveren ofte sende indholdet som tekst der vises i browseren. I vores logs støder vi hele tiden på bots der forsøger at åbne wp-config.* med alle tænkelige forskellige endelser, hvor ejeren selvfølgelig håber at finde en ældre version af wp-config.php der stadig indeholder aktuelle brugernavne og passwords.

Hvis man ønsker at gemme en kopi af den gamle wp-config.php inden man retter noget, så er det sikrest at gemme den på ens egen computer. Alternativt kan man gemme en kopi i en mappe som der ikke er tilgængelig for Apache, så den ikke kan åbnes i en browser. Det er også en god ide at beholde ".php" endelsen, og f.eks. kalde kopien "wp-config-old.php" i stedet for "wp-config.old".