Wp-configを保護すると、wp-settingsに機密情報が漏れる
私は以下のチュートリアルを読みました。それはあなたの設定ファイルをHTTPでアクセス可能なフォルダから移動することを述べています。
http://codex.wordpress.org/Hardening_WordPress#Securing_wp-config.php
私はこれをしました、そしてそれはうまく働きます。そして、 http://mysite.com/wp-config.php にアクセスすると、予想どおり空白のページが表示されます。しかし、 http://mysite.com/wp-settings.php にアクセスすると、次のエラーが表示されます。
警告:require(ABSPATHwp-includes/load.php)[function.require]:ストリームのオープンに失敗しました:/ home/{my user name} /mysite.com/wp-settings.phpの19行目にそのようなファイルまたはディレクトリがありません
致命的なエラー:require()[function.require]:必要な 'ABSPATHwp-includes/load.php'のオープンに失敗しました(include_path = '。:/ usr/local/lib/php:/ usr/local/php5/lib/pear') 19行目の/ home/{自分のユーザー名} /mysite.com/wp-settings.php
私はWordPressとPHPの初心者ですが、プログラミングの初心者ではありません。明らかに、誰かが私のwp-settingsファイルにアクセスしようとした場合、私のシェルユーザーの名前をウェブに出力させるのはノーだ。
Wp-settingsのようなファイルが機密情報を画面に漏らさないようにするために、ここにあるようにあなたはあなたの設定ファイルをWebディレクトリの外に出すことができますか?これはすべて間違っているのでしょうか。
うーん、core WPファイルは通常直接開くと正しく消えます。おそらくこれをチェックインすることを開発者に滑り込ませたのでしょう。
これを修正する(そして実際にはWP固有ではない)簡単な方法は、次のとおりです。
- デフォルトでエラーを表示しないようにサーバ上でPHPを設定します。
- .htaccessまたは他の方法でファイルへのアクセスを制限します。