如何测试以确保我的wp-config文件受到保护?

时间:2018-11-02 作者:jarrodwhitley

自从order allow,deny 在2.4中被弃用,我想在中重写规则。htaccess文件以使用新规则。之前我使用:

<files wp-config.php>
    order allow,deny
    deny from all
</files>
我将其改写为:

<FilesMatch "wp-config.php">
    Require all denied
</FilesMatch>
How do I confirm that my method is actually working? 我不确定黑客如何访问此文件,所以我不知道如何测试它。

2 个回复
SO网友:scytale

旧方法适合我,任何请求都会导致403状态响应,而不是执行php脚本。我还没有检查你的第二个方法,但如果它有效,它将以403拒绝/禁止的类似响应。

要进行测试,只需在浏览器的地址栏中插入“wp config.php”的URL即可。http://example.com/wp-config.php . 根据浏览器和/或站点自定义403设置,浏览器将显示“禁止”、“拒绝访问”等。

注意,您还可以移动wp配置。phpone Wordpress安装它的目录,如果它位于Webroot/public\\uHTML之上,黑客将无法“直接”访问它。这里有更多信息Is moving wp-config outside the web root really beneficial?

SO网友:jarrodwhitley

我发现,通过查看服务器的错误日志,我可以看到服务器在我试图访问时拒绝了我的权限http://example.com/wp-config.php

看起来是这样的:

【2018年11月2日星期五17:52:22.222222】【authz\\u核心:错误】【pid 222】【客户端22.222.222:22222】AH01630:客户端被服务器配置拒绝:/nas/wp/www/sites/example/wp config。php

结束
标签: htaccess   security   apache   小码农  

相关推荐

WordPress没有生成.htaccess,但告诉我(更新了固定链接结构)。

我希望有人能帮助我。我正在使用directadmin配置新的Centos 7服务器,遇到以下问题:;我的。保存permalinks后不会生成htaccess文件,但会显示(Permalink结构已更新)</尝试保存站点后,多站点wordpress给出错误500(日志中没有错误)。我认为这与同样的问题有关,为什么我的htaccess不会生成。htaccess似乎是我问题的一个更容易的起点</你需要知道的事情;在Wordpress中,其他一切似乎都起作用了。我甚至可以在wordpress中下载、安