如何保护WordPress wp-config文件

1. wp-config.php这文件啊，对WordPress来说就是命根子。数据库密码、密钥全在里面，要是被坏人拿到，网站基本就算送人了。所以得把它藏严实点，跟藏私房钱一个道理。

2. 首先最简单的一招：把它移到上一级目录。默认是在WordPress安装根目录，但其实可以放到public_html或www的上一级，这样通过网址直接访问就彻底没戏了。操作起来不复杂，把wp-config.php剪切到根目录的上一级，然后改一下代码，在wp-config里加这行：

// 告诉WordPress配置文件的路径
define('ABSPATH', dirname(__FILE__) . '/');

3. 权限设置也很关键。这文件理论上除了服务器用户，谁都不该碰。用FTP工具右击文件选“文件权限”，改成600最保险，意思是只允许所有者读写，其他全禁。用命令的话就是：

chmod 600 /path/to/wp-config.php

4. 再来个狠的：用.htaccess文件堵死任何外部访问。在wp-config同目录下（或者网站根目录）的.htaccess里加这几行：

<files wp-config.php>
order allow,deny
deny from all
</files>

这样任何通过浏览器直接访问的请求都会吃闭门羹，返回403错误。

5. 密钥-salts必须重新生成，别用默认那些。去WordPress官方密钥生成页面弄一套新的，替换掉wp-config里那几行类似这样的：

define('AUTH_KEY',         'put your unique phrase here');
// ... 其他7个密钥

长一点的随机字符能让Cookie加密更安全，降低会话被劫持的风险。

6. 最后可以考虑加点迷惑性操作，比如放个假的wp-config.php在根目录，里面只写一行：

<?php exit('Forbidden'); ?>

或者塞满无关代码，让攻击者浪费时间破解。真文件藏别处，就像门上挂假锁，真钥匙揣内兜里——虚晃一枪的智慧。

保护配置文件其实就是增加攻击成本，让坏人觉得你这儿太麻烦，转头去找别的目标。保持更新，定期检查，安全就是个持续的过程，没有一劳永逸的事。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。