ASIX/M17/UF3/PT1/211
Per a protegir-lo podem optar per a treure'l de la ruta des d'on es serveix la web i deixar allà un arxiu PHP amb el mateix nom que simplement faci una inclusió de l'arxiu de configuració real que es trobi en una altra ruta del sistema de fitxers i, fins i tot, amb un nom totalment diferent.
Ho farem de la següent manera:
- Copiarem l'arxiu original a una altra ruta i li canviarem el nom; per exemple
/opt/wallpaper.png - Editarem l'arxiu original i hi posarem el següent contingut:
require '/opt/wallpaper.png';
I aquests passos els executaríem amb les següents comandes:
wordpressm09:~ # cp /srv/www/htdocs/wp-config.php /opt/wallpaper.png wordpressm09:~ # nano /srv/www/htdocs/wp-config.php
D'aquesta manera, deixem camuflat en una ruta no default l'arxiu bàsic de configuració del CMS; de manera que un atacant no pugui veure el contingut o modificar-lo, ja que l'arxiu que es troba a la ruta on el necessita Wordpress és només una inclusió (obligatòria →require) del contingut d'un arxiu que no es troba al directori base del servidor web.
Deshabilitar el directori de Browsing o Índex
Això, tal com el punt 6, podem fer-ho mitjançant arxiu .htaccess o bé des de la configuració d'Apache. Per comoditat ho faré de la primera manera encara que, per seguretat, si tenim accés al servidor, és millor amb directives del servidor web.
nano /srv/www/htdocs/.htaccess
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Options -Indexes
