HTACCESS – Restringindo Acesso WP-CONFIG
por Fábio Couto | Post: 22 de março de 2020 |Update: 24 de maio de 2021 | Apache2, Segurança, WordPress
Protegendo o Acesso não Autorizado ao wep-config.php
Esse é o arquivo mais importante para o funcionamento de forma harmoniosas do seu site WordPress.
Nesse arquivo contém informações cruciais e muito sensíveis como conexão do banco, chaves criptografadas, prefixo das tabelas etc… porém, caso um invasor tentasse ter acesso a essas informações, nem se esse acesso fosse realizados diretamente, não conseguiria, o servidor web tentaria executar o arquivo PHP para retornar alguma saída.
Tópicos
- HTACCESS – WordPress
- HTACCESS – Impedindo Listagem do Diretório Uploads
- HTACCESS – Bloquear Subdiretório do Diretório WordPress
- HTACCESS – Protegendo o Acesso WP-CONFIG
- HTACCESS – Personalizando Página Erro HTML
- HTACCESS – Controlando Hotlink’s
- HTACCESS – Impedir Script Injection
- HTACCESS – Impedindo Cadastro e Postagem Não Autorizada SPAM
- HTACCESS – Impedindo Lista Usuários
Um teste a ser feito:
http://seublog/wp-config.php
“Se o arquivo não houver nenhuma proteção uma página em branco deveria ser exibida. ”
Entretanto, caso algum erro ocorra no módulo PHP, os arquivos .php no lugar de serem executados serão enviados para downloads aos usuários.
Um outro cenário que o arquivo wp-config.php poderia ser acessado em algumas vulnerabilidades de Plug-ins ou Themes.
Com as instruções que vamos escrever, preveniríamos que os erros citados a cima não permitam que o arquivo wp-config.php seja acessado nem baixados. Vamos inserir o código no arquivo .htaccess que está no diretório raiz do WordPress, colocando essas linhas no final do arquivo htaccess.
<files wp-config.php>
order allow,deny deny from all </files>
Após salvar é só testar, ao invés de usando a seguinte url:
http://seublog/wp-config.php
Caso queiram realizar testes após inserir as instruções:
https://blog.bidela.com.br/wp-config.php
Se tudo ocorreu bem, uma página de acesso negado, código html 403, deverá ser exibida.
A meu ver esse é uma das configurações mais essenciais para a saúde do seu WordPress, mas é claro, tudo é conjunto bem ajusta e analisado para que a segurança do seu WordPress opere bem.
No próximo post iremos abordar o tratamento das páginas de erro 400, 403 etc.
Receba novos artigos assinando o nosso espaço.
No final dessa postagem temos um campo onde você é bem vindo para deixar seus comentários. Pode ser uma opinião, elogios, criticas ou correções. Pode ficar a vontade para tirar suas dúvidas ou colaborar acrescentando algo que tenhamos deixado passar desapercebido.
Sua visita e feedback é muito importante para o nosso espaço.
Paz e até mais!
