Hiện nay trên mạng có khá nhiều hướng dẫn di chuyển vị trí file wp-config.php cho wordpress. Tuy nhiên hôm nay mình sẽ hướng dẫn 1 cách khác triệt để hơn.
Trong tut này mình sẽ hướng dẫn các bạn di chuyển file wp-config.php ra ngoài public_html (Ngang hàng public_html) và đổi tên nó
Ok. Bắt đầu:
Mở file wp-load.php
1. Tìm:
Mã:
if ( file_exists( ABSPATH . 'wp-config.php') )
Mã:
if ( file_exists( ABSPATH . 'quyle.php') )
Mã:
require_once( ABSPATH . 'wp-config.php' );
Mã:
require_once( ABSPATH . 'quyle.php' );
Mã:
elseif ( file_exists( dirname(ABSPATH) . '/wp-config.php' )
elseif ( file_exists( dirname(ABSPATH) . '/quyle.php' )
4. Tìm
Mã:
require_once( dirname(ABSPATH) . '/wp-config.php' );
Mã:
require_once( dirname(ABSPATH) . '/quyle.php' );
quyle.php: là file config mới các bạn đặt tên tùy ý.
- Chmod cho file config mới tạo thành 400
- Chmod file wp-load.php thành 400
5. Đánh lừa attacker
Sau khi đã đổi tên và di chuyển file config ra ngoài public_html thì ta vẫn tạo 1 file wp-config.php trong public_html (Ngang hàng index.php) với nội dung như sau:
Mã:
<?php include "quyle/abc.php" ?>
Sau đó tạo 1 thư mục quyle và tạo file abc.php trong đó (Tên các bạn thay đổi tùy ý nhé)
Tiếp theo các bạn copy nội dung file config thật vào file abc.php và sửa
Mã:
/** The name of the database for WordPress */
define('DB_NAME', 'database_name_here');
/** MySQL database username */
define('DB_USER', 'username_here');
/** MySQL database password */
define('DB_PASSWORD', 'password_here');
Tiếp theo chmod file abc.php thành 400
Thư mục quyle thành 100
Với cách làm như trên có thể nói là attacker muốn mò ra được file config thật của bạn cũng khá là vất vả
Nếu có điều kiện thì các bạn mã hóa luôn các file đó (zend, ionecube....)
Đăng nhận xét Blogger Facebook