Diferència entre revisions de la pàgina «ASIX/M17/UF3/PT1/211»

De Lordwektabyte Wiki
Salta a la navegació Salta a la cerca
(Es crea la pàgina amb «Per a protegir-lo podem optar per a treure'l de la ruta des d'on es serveix la web i deixar allà un arxiu PHP amb el mateix nom que simplement faci una inclusió de l...».)
 
Línia 15: Línia 15:
  
 
D'aquesta manera, deixem camuflat en una ruta ''no default'' l'arxiu bàsic de configuració del CMS; de manera que un atacant no pugui veure el contingut o modificar-lo, ja que l'arxiu que es troba a la ruta on el necessita Wordpress és només una inclusió (obligatòria{{fletxadreta}}''require'') del contingut d'un arxiu que no es troba al directori base del servidor web.
 
D'aquesta manera, deixem camuflat en una ruta ''no default'' l'arxiu bàsic de configuració del CMS; de manera que un atacant no pugui veure el contingut o modificar-lo, ja que l'arxiu que es troba a la ruta on el necessita Wordpress és només una inclusió (obligatòria{{fletxadreta}}''require'') del contingut d'un arxiu que no es troba al directori base del servidor web.
 
===Deshabilitar el directori de ''Browsing'' o Índex===
 
Això, tal com el punt 6, podem fer-ho mitjançant arxiu ''.htaccess'' o bé des de la configuració d'Apache. Per comoditat ho faré de la primera manera encara que, per seguretat, si tenim accés al servidor, és millor amb directives del servidor web.
 
 
<source>
 
nano /srv/www/htdocs/.htaccess
 
 
# BEGIN WordPress
 
<IfModule mod_rewrite.c>
 
RewriteEngine On
 
RewriteBase /
 
RewriteRule ^index\.php$ - [L]
 
RewriteCond %{REQUEST_FILENAME} !-f
 
RewriteCond %{REQUEST_FILENAME} !-d
 
RewriteRule . /index.php [L]
 
</IfModule>
 
 
# END WordPress
 
 
Options -Indexes
 
</source>
 

Revisió del 12:40, 23 feb 2019

Per a protegir-lo podem optar per a treure'l de la ruta des d'on es serveix la web i deixar allà un arxiu PHP amb el mateix nom que simplement faci una inclusió de l'arxiu de configuració real que es trobi en una altra ruta del sistema de fitxers i, fins i tot, amb un nom totalment diferent.

Ho farem de la següent manera:

  1. Copiarem l'arxiu original a una altra ruta i li canviarem el nom; per exemple /opt/wallpaper.png
  2. Editarem l'arxiu original i hi posarem el següent contingut:
require '/opt/wallpaper.png';

I aquests passos els executaríem amb les següents comandes: 

wordpressm09:~ # cp /srv/www/htdocs/wp-config.php /opt/wallpaper.png
wordpressm09:~ # nano /srv/www/htdocs/wp-config.php

D'aquesta manera, deixem camuflat en una ruta no default l'arxiu bàsic de configuració del CMS; de manera que un atacant no pugui veure el contingut o modificar-lo, ja que l'arxiu que es troba a la ruta on el necessita Wordpress és només una inclusió (obligatòria →require) del contingut d'un arxiu que no es troba al directori base del servidor web.

Obtingut de «http://wiki.lordwektabyte.cat/index.php?title=ASIX/M17/UF3/PT1/211&oldid=3816»