Zabezpečení

Pokročilé zabezpečení WordPressu pomocí souboru wp-config.php – kompletní průvodce

  • 15 minut na čtení
  • Tým Hostragons
Pokročilé zabezpečení WordPressu pomocí souboru wp-config.php – kompletní průvodce

Pokročilé zabezpečení WordPressu pomocí souboru wp-config.php zahrnuje ochranu přístupu k databázi, posílení bezpečnostních klíčů, deaktivaci online editoru souborů, bezpečnou správu ladících výstupů, vynucení SSL a omezení přístupu ke kritickým adresářům. Stručně řečeno, wp-config.php je jedním z bezpečnostních center vašeho webu; se správným nastavením snižuje útočnou plochu, minimalizuje riziko neoprávněného přístupu a v případě bezpečnostního incidentu omezuje rozsah škod.

Většina majitelů webů, kteří instalují WordPress, vnímá soubor wp-config.php pouze jako technický soubor pro zadání názvu databáze, uživatelského jména a hesla. Přitom je tento soubor kritickou součástí bezpečnostní architektury živého webu. Zejména pro e-shopy, členské systémy, firemní weby a blogy s vysokou návštěvností poskytuje správně nakonfigurovaný wp-config.php silnou obrannou vrstvu proti jednoduchým botovým útokům, manipulaci se soubory přes administraci, únikům chybových hlášek a pokusům o krádež relace.

V tomto průvodci pro blog Hostragons se krok za krokem podíváme na pokročilé bezpečnostní nastavení, které lze aplikovat v souboru wp-config.php. Srozumitelně, ale technicky přesně vysvětlíme, k čemu každé nastavení slouží, ve kterých situacích jej doporučujeme použít a na co si dát před nasazením pozor. Pokud ještě nemáte bezpečnou a aktuální hostingovou infrastrukturu, je spolu s vytvrzením wp-config.php důležitý i výběr spolehlivého WordPress hostingu. V tomto ohledu mohou být relevantní stránky WordPress hostingové balíčky a bezpečná webhostingová řešení.

Co je soubor wp-config.php a proč je pro bezpečnost kritický?

wp-config.php je konfigurační soubor umístěný v kořenovém adresáři WordPressu, který uchovává základní provozní parametry webu. WordPress se přes tento soubor připojuje k databázi, načítá bezpečnostní klíče, určuje chování ladění, spravuje operace souborového systému a spouští některé pokročilé konstanty. Proto je obsah tohoto souboru mnohem citlivější než běžný soubor šablony.

V tomto souboru se obvykle nacházejí tyto kritické informace:

  • Název databáze, uživatelské jméno, heslo a adresa serveru
  • Bezpečnostní klíče relace známé jako Authentication Unique Keys a Salts
  • Prefix databázových tabulek
  • Nastavení ladění a logování
  • Konstanty řídící editaci souborů, aktualizace a chování SSL
  • Provozní nastavení jako limit paměti WordPressu a adresář pro dočasné soubory

Pokud útočník získá přístup k obsahu wp-config.php, může se zmocnit přihlašovacích údajů k databázi. V takovém případě nejsou v ohrožení pouze administrace WordPressu, ale i uživatelské účty v databázi, záznamy objednávek, formuláře, obsah a soukromá data zákazníků. Proto je ochrana souboru wp-config.php jedním ze základních kroků zabezpečení WordPressu.

Než začnete: Plán zálohování, testování a přístupu

I malá chyba v syntaxi souboru wp-config.php může způsobit bílou obrazovku smrti, přerušení spojení s databází nebo ztrátu přístupu do administrace. Proto před provedením změn aplikujte třífázový bezpečnostní plán.

1. Vytvořte úplnou zálohu

Nejprve zazálohujte soubory a databázi. Pouhé stažení souboru wp-config.php do počítače nestačí; protože provedená změna může ovlivnit připojení k databázi, je důležitá i záloha databáze. Pokud máte v ovládacím panelu funkci automatického zálohování, zkontrolujte datum poslední zálohy. V případě potřeby vytvořte manuální zálohu. V této souvislosti můžete pokračovat s obsahem průvodce zálohováním webových stránek.

2. Aplikujte změny jednu po druhé

Místo přidávání 8 nebo 10 bezpečnostních nastavení najednou testujte web, administraci a kritické formuláře po každé jednotlivé změně. Například nejprve vypněte editaci souborů a poté web zkontrolujte. Poté nakonfigurujte nastavení ladění. Tato metoda vám umožní rychle zjistit, který řádek způsobil problém, pokud dojde k chybě.

3. Mějte připravený přístup přes FTP nebo správce souborů

Pokud je wp-config.php chybně uložen, nemusíte se dostat do administrace WordPressu. Proto se ujistěte, že máte funkční přístup přes správce souborů v cPanelu, SFTP nebo zabezpečený přenos souborů. Použití SFTP je bezpečnější než FTP, protože spojení probíhá šifrovaně. Pro bezpečný přístup může být užitečný průvodce s názvem co je SFTP a jak ho používat.

Souhrn bezpečnostních nastavení wp-config.php

Následující tabulka prakticky shrnuje základní a pokročilá bezpečnostní nastavení popsaná v tomto průvodci. Před nasazením na živý web vyhodnoťte každý řádek podle potřeb vašeho webu.

Souhrn bezpečnostních nastavení wp-config.php
NastaveníÚčelDoporučená situaceÚroveň rizika
Obnovení bezpečnostních klíčůSnížení rizika krádeže relacePři instalaci a po podezřelém přístupuNízká
DISALLOW_FILE_EDITVypnutí editace šablon a pluginů z administraceNa všech živých webechNízká
Skrytí ladícího výstupuSkrytí chybových hlášek a informací o cestáchNa všech živých webechStřední
Vynucení SSLŠifrování provozu administraceNa všech webech s SSLNízká
Změna prefixu databázeZtížení automatických SQL útokůPři nových instalacíchStřední
Zpřísnění oprávnění souborůZabránění neoprávněnému zápisuNa všech webechStřední
Správa automatických aktualizacíUrychlení bezpečnostních záplatZapnuto pro dílčí verzeNízká

Posilte bezpečnostní klíče a hodnoty Salt

Bezpečnost relací WordPressu je podporována klíči AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY a jejich protějšky salt uvnitř wp-config.php. Tyto klíče činí uživatelské cookies a procesy ověřování relací bezpečnějšími. Pokud jsou klíče slabé, výchozí nebo dlouho neměněné, může být bezpečnost relací oslabena.

Doporučeným postupem je generovat nové a náhodné klíče pomocí oficiálního generátoru tajných klíčů WordPressu. Tyto klíče jsou obvykle delší než 64 znaků, obsahují náhodné symboly a jsou prakticky neuhodnutelné. Stačí nahradit stávající řádky ve wp-config.php novými klíči.

Efekt této operace je jasný: Všechny aktivní uživatelské relace jsou ukončeny a uživatelé se musí znovu přihlásit. Pokud máte podezření, že byl kompromitován administrátorský účet, je obnovení hodnot salt rychlým nouzovým krokem. Obnovování těchto klíčů je dobrou operací zejména každých 6 měsíců nebo při podezření na narušení bezpečnosti.

Vypněte editaci souborů přes administraci

V administraci WordPressu se nachází editor, který umožňuje úpravu souborů šablon a pluginů. I když se tato funkce může zdát během vývoje praktická, na živých webech představuje vážné riziko. Pokud útočník získá přístup k administrátorskému účtu, může přes editor souborů v administraci vložit škodlivý PHP kód.

Přidáním následující konstanty do souboru wp-config.php můžete editaci souborů z administrace vypnout: define('DISALLOW_FILE_EDIT', true);

Toto nastavení deaktivuje editor souborů šablon a pluginů v administraci WordPressu. Doporučujeme jej ve výchozím nastavení aktivovat pro blogy s každodenním publikováním, firemní weby a WooCommerce obchody. Pokud jsou nutné změny souborů, měly by být prováděny přes SFTP, Git nebo bezpečné procesy nasazení.

Jako pokročilejší možnost lze použít konstantu DISALLOW_FILE_MODS, která omezuje i nahrávání a aktualizace souborů. Protože však toto nastavení může blokovat i aktualizace pluginů a šablon, mělo by být upřednostněno pouze u velmi citlivých systémů, kde se změny nemají provádět mimo plánované okno údržby.

Přizpůsobte nastavení ladění pro živý web

Ve vývojovém prostředí WordPressu je užitečné zapnout hodnotu WP_DEBUG; vidíte chyby, najdete nekompatibilní pluginy a diagnostikujete problémy šablon. Na živém webu však chybové zprávy zobrazené na obrazovce mohou obsahovat informace užitečné pro útočníka, jako je cesta k serveru, název pluginu, umístění souboru, náznaky databázových dotazů a verze PHP.

Bezpečný přístup v živém prostředí se řídí touto logikou: Nezobrazovat chyby návštěvníkům, v případě potřeby je zapisovat do speciálního logovacího souboru. K tomu musí být WP_DEBUG nastaveno na false; pokud je během vývojové fáze potřeba logování, mělo by být použito WP_DEBUG_LOG true a WP_DEBUG_DISPLAY false. Příklad logiky je následující: define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false);

Pokud potřebujete prozkoumat chybu, zapněte logování na krátkou dobu, vyřešte problém a znovu jej vypněte. Také se ujistěte, že k logovacímu souboru nelze přistupovat z veřejného adresáře. Protože soubor debug.log se někdy může vytvořit v umístění blízko kořene webu a na špatně nakonfigurovaných serverech může být čitelný zvenčí. Pro snížení těchto rizik je kritická správná konfigurace hostingu. jak spravovat chybové záznamy WordPressu a bezpečný WordPress hosting jsou v tomto bodě přirozeně navazujícími obsahy.

Vynuťte SSL a bezpečnost administrace

SSL certifikát šifruje provoz mezi uživatelem a serverem. Protože se do administrace WordPressu přihlašuje uživatelským jménem a heslem, musí provoz administrace probíhat přes HTTPS. Toto nastavení je ještě důležitější u týmů, které přistupují k administraci ze sdílených sítí, mimo kancelář nebo z mobilních připojení.

Uvnitř wp-config.php lze pomocí konstanty FORCE_SSL_ADMIN vynutit SSL v administraci: define('FORCE_SSL_ADMIN', true);

Pro správné fungování tohoto nastavení musí být na vaší doméně nainstalován platný SSL certifikát. Pokud SSL ještě nepoužíváte, nejprve dokončete instalaci certifikátu. SSL je základním požadavkem nejen pro bezpečnost, ale i pro důvěru uživatelů a SEO. Pro možnosti SSL na Hostragons se můžete podívat na stránku produkty SSL certifikátů, pro správu domén na stránku vyhledávání a registrace domén.

Pokud po vynucení SSL dojde k chybě nekonečného přesměrování, obvykle to znamená, že konfigurace proxy, CDN nebo load balanceru není správně detekována. V takovém případě je třeba zkontrolovat HTTPS hlavičky na straně serveru a nastavení adresy webu WordPress.

Spravujte bezpečněji informace o databázi a prefix tabulek

Hodnoty DB_NAME, DB_USER, DB_PASSWORD a DB_HOST v souboru wp-config.php umožňují WordPressu připojit se k databázi. Tyto informace musí být silné a s omezenými oprávněními. Jednou z nejčastějších chyb je udělení nadbytečných oprávnění databázovému uživateli.

Pro živý WordPress web se doporučuje, aby databázový uživatel měl pouze ta oprávnění, která potřebuje. Obvykle postačují oprávnění jako SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER a INDEX. Používání široce oprávněných uživatelů s přístupem ke všem databázím v konfiguraci WordPressu na úrovni správy serveru je riskantní.

Správný přístup k prefixu tabulek

Výchozí prefix tabulek WordPressu je wp_. Při nových instalacích jeho změna na jinou a náhodnou hodnotu ztíží práci automatickým útočným nástrojům. Například místo wp_ lze zvolit krátký, ale těžko uhodnutelný prefix jako hr7x_. Změna prefixu tabulek na existujícím webu však nekončí pouhou změnou hodnoty table_prefix uvnitř wp-config.php; je třeba také aktualizovat názvy tabulek v databázi a některé záznamy v usermeta.

Proto pokud budete provádět změnu prefixu tabulek na existujícím živém webu, nejprve vytvořte úplnou zálohu, operaci pokud možno otestujte ve stagingovém prostředí a poté ji přeneste na živý web. U nových instalací je bezpečnější a méně rizikové použít odlišný prefix hned od začátku.

Možnost přesunutí souboru wp-config.php mimo kořenový adresář

WordPress může v některých konfiguracích serveru číst soubor wp-config.php i o úroveň výše nad kořenovým adresářem. Například pokud jsou soubory WordPressu uvnitř public_html, lze soubor wp-config.php přesunout do nadřazeného adresáře mimo public_html. Tato metoda snižuje riziko přímého přístupu přes web.

Tato praktika však nemusí fungovat stejně v každém hostingovém prostředí. Na sdílených hostingových službách nemusí být možné přesunout soubor do nadřazeného adresáře kvůli oprávněním adresářů, struktuře ovládacího panelu nebo bezpečnostním politikám. Navíc osoby provádějící údržbu musí znát umístění souboru; jinak se v budoucnu proces ladění prodlouží.

Před aplikací této metody zkontrolujte strukturu souborů vašeho poskytovatele hostingu. Pokud používáte spravovaný WordPress hosting, zjistěte od týmu podpory doporučenou strukturu adresářů. Pro správnou správu adresářů a oprávnění v infrastruktuře Hostragons může být podpůrným obsahem průvodce hostingovým ovládacím panelem.

Zpřísněte oprávnění souborů a práva zápisu

Bezpečnost wp-config.php se netýká pouze konstant uvnitř, ale také oprávnění souboru na úrovni operačního systému. Obecným doporučením je, aby soubor wp-config.php nebyl zapisovatelný všemi. Ve většině hostingových prostředí založených na Linuxu lze oprávnění souborů nakonfigurovat na omezenější hodnoty jako 400, 440 nebo 600. Která hodnota bude fungovat, závisí na uživateli serveru a modelu běhu PHP.

Praktický přístup je následující: Soubor by měl být udržován s nejnižším oprávněním, které nenaruší chod webu. Nastavení jako 777, které dává všem právo zápisu, by se rozhodně neměla používat. 644 v některých prostředích funguje jako výchozí, ale v citlivějších instalacích lze upřednostnit 600 nebo 440. Po změně je třeba otestovat načítání webu, administraci a obrazovky aktualizací pluginů.

Kromě toho je důležité zablokovat přístup k souboru wp-config.php na úrovni webového serveru. V moderních hostingových infrastrukturách nejsou PHP soubory zobrazovány jako přímé zdroje; na špatně nakonfigurovaných serverech však může vzniknout riziko. Proto je spolehlivá hostingová infrastruktura stejně důležitá jako oprávnění souborů.

Spravujte automatické aktualizace s ohledem na bezpečnost

Jádro WordPressu, pluginy a šablony pravidelně dostávají bezpečnostní aktualizace. Přes wp-config.php můžete do určité míry řídit chování automatických aktualizací. Z bezpečnostního hlediska se obecně doporučuje provádět automatické dílčí aktualizace verzí. Protože tyto aktualizace jsou většinou zaměřeny na bezpečnost a opravy chyb.

Například ponechání zapnutých dílčích aktualizací jádra WordPressu snižuje prodlevu proti známým zranitelnostem. Přechody na hlavní verze však mohou vyžadovat testování z hlediska kompatibility šablon a pluginů. Proto je u firemních webů nejzdravější metodou nechat zapnuté automatické bezpečnostní záplaty a hlavní aktualizace nasazovat na živý web až po otestování ve stagingovém prostředí.

Ve strategii aktualizací můžete použít tři základní pravidla: Nejprve záloha, poté test, nakonec nasazení na živý web. Toto jednoduché pořadí nastoluje správnou rovnováhu mezi bezpečností a kontinuitou provozu.

Mějte pod kontrolou limit PHP paměti a spotřebu zdrojů

V souboru wp-config.php lze pomocí hodnot WP_MEMORY_LIMIT a WP_MAX_MEMORY_LIMIT definovat množství paměti, které může WordPress využít. I když se tato nastavení nemusí zdát jako přímé bezpečnostní nastavení, jsou důležitá při útocích na spotřebu zdrojů, u chybových pluginů a při náročných administrátorských operacích.

Například pro malý blog často postačuje 128M, zatímco WooCommerce obchody nebo vícejazyčné weby mohou vyžadovat 256M. Zbytečně vysoké nastavení limitu paměti však může způsobit, že chybný plugin spotřebuje více zdrojů a sníží výkon serveru. Správná hodnota by měla být vyhodnocena společně s návštěvností webu, počtem pluginů a zdroji hostingového balíčku.

Pokud často dostáváte chyby paměti, místo pouhého zvyšování limitu prozkoumejte zdroj problému. Příčinou mohou být těžké pluginy, neoptimalizované dotazy, stará verze PHP nebo nedostatečný hostingový balíček. Výkon a bezpečnost je třeba řešit společně. V této souvislosti nabízejí obsahy optimalizace výkonu WordPressu a vysoce výkonné hostingové balíčky přirozenou příležitost k propojení.

Udržujte adresář dočasných souborů a chování nahrávání v bezpečí

V některých hostingových prostředích WordPress ukládá dočasné soubory do výchozích systémových adresářů. To je normální; avšak špatně nastavená oprávnění sdílených adresářů mohou představovat bezpečnostní riziko. Pomocí definice WP_TEMP_DIR ve wp-config.php lze určit adresář, který bude WordPress pro dočasné soubory používat.

Pokud budete tuto metodu používat, dbejte na to, aby byl adresář uzavřen veřejnému přístupu, měl kontrolovaná oprávnění k zápisu a byl přístupný pouze příslušnému uživateli webu. Dočasné adresáře se aktivně používají zejména při nahrávání souborů, zpracování médií a aktualizacích pluginů. Špatně nakonfigurovaný dočasný adresář může způsobit chyby nahrávání nebo riziko úniku souborů.

Doména cookies a bezpečnost multisite

U projektů využívajících WordPress multisite, subdomény nebo strukturu podadresářů se hodnoty domény cookies a URL webu stávají citlivějšími. Špatná definice domény cookies může vést k tomu, že relace budou platné na neočekávaných subdoménách, nebo k přihlašovacím smyčkám. Z bezpečnostního hlediska by měl být rozsah cookies pro každou architekturu webu omezen na minimální nezbytnou doménu.

Například u struktur jako admin.example.com, shop.example.com a blog.example.com by mělo být vědomě určeno, zda budou cookies platné na všech subdoménách, nebo pouze na konkrétní doméně. Zbytečně široký rozsah cookies může zvýšit pravděpodobnost, že zranitelnost na jedné subdoméně ovlivní relace na jiných doménách.

Pokud používáte multisite, vyhodnoťte společně multisite konstanty uvnitř wp-config.php, nastavení mapování domén a konfiguraci SSL. U takových projektů je důležité i plánování domén a SSL. Zde mohou být relevantní odkazy správa více domén a wildcard SSL certifikát.

Praktický bezpečnostní kontrolní seznam pro wp-config.php

Následující seznam můžete na svém živém WordPress webu periodicky kontrolovat. Je dobrým zvykem jej revidovat zejména po instalaci nových pluginů, změnách šablon, migraci serveru a podezřelých pokusech o přihlášení.

  • Je aktuální záloha souboru wp-config.php uložena na bezpečném místě?
  • Jsou bezpečnostní klíče a hodnoty salt jedinečné a náhodné?
  • Je DISALLOW_FILE_EDIT aktivní?
  • Je WP_DEBUG na živém webu vypnuto nebo v bezpečném režimu logování?
  • Je administrace vynuceně provozována přes HTTPS?
  • Nemá databázový uživatel zbytečná oprávnění?
  • Je prefix tabulek u nových instalací jiný než výchozí wp_?
  • Neobsahují oprávnění souborů nebezpečné hodnoty jako 777?
  • Jsou automatické bezpečnostní aktualizace kontrolovaně zapnuty?
  • Je na hostingovém účtu správně nakonfigurováno SFTP, zálohování a SSL?

Časté chyby a jak se jim vyhnout

Nejčastější chybou při práci s wp-config.php je přidávání úryvků kódu nalezených na internetu bez pochopení jejich funkce. Každý WordPress web nemá stejnou konfiguraci serveru, šablonu, pluginy a strukturu návštěvnosti. Proto nastavení, které na jednom webu funguje bez problémů, může na jiném způsobit problémy s relací nebo chybu aktualizace.

Druhou běžnou chybou je ponechání zapnutého ladícího výstupu na živém webu. Tato situace jak narušuje uživatelský zážitek, tak vede k úniku technických informací. Třetí chybou je ponechání zálohy souboru wp-config.php v kořenovém adresáři webu pod názvy jako wp-config-backup.php, wp-config-old.php. Tyto soubory mohou být při špatném nastavení serveru staženy jako prostý text. Zálohy by měly být uchovávány v oblasti bez webového přístupu.

Čtvrtou chybou je nastavení oprávnění souborů na 777 pro vyřešení problému a jejich následné nevrácení do původního stavu. I když se to krátkodobě jeví jako řešení, z bezpečnostního hlediska je to velmi nebezpečné. Pátou chybou je aktivace FORCE_SSL_ADMIN bez nainstalovaného SSL; tato situace může způsobit problémy s přístupem do administrace.

Jak vybudovat profesionální bezpečnostní vrstvu WordPressu

Vytvrzení wp-config.php je důležitým krokem, ale samo o sobě nezajistí úplnou bezpečnost. Profesionální bezpečnostní přístup by měl být vrstvený. Silná izolace hostingu, aktuální verze PHP, firewall webových aplikací, spolehlivé SSL, pravidelné zálohování, omezený počet administrátorských účtů, dvoufaktorové ověřování a sledování logů by měly být zvažovány společně.

Například když se útočník pokusí zneužít zranitelnost pluginu, vrstva WAF může požadavek zablokovat. Pokud dojde k prozrazení uživatelského hesla, nastupuje dvoufaktorové ověření. Pokud dojde ke změně souboru, provede se rychlá obnova ze zálohy. A wp-config.php je v tomto řetězci kritickým bodem konfigurace a omezení.

Pokud zakládáte nový WordPress web, postupujte od začátku s důrazem na bezpečnost: naplánujte silnou doménu a SSL, vyberte bezpečný hosting, změňte výchozí prefix tabulek, vygenerujte jedinečné salt klíče, vypněte editaci souborů v administraci a aktivujte pravidelné zálohy. Tyto základní kroky zabrání mnoha problémům, které by mohly v budoucnu nastat, ještě dříve, než začnou.

Závěr: Malá nastavení, velký dopad na bezpečnost

Pokročilé zabezpečení pomocí souboru wp-config.php nabízí praktická a účinná opatření, která snižují útočnou plochu vašeho webu. Obnovení salt klíčů, vypnutí editace souborů, skrytí ladícího výstupu, vynucení SSL, omezení databázových oprávnění a zpřísnění oprávnění souborů – to jsou kroky, které přinášejí vysoký užitek pro většinu WordPress webů.

Při aplikaci těchto nastavení nespěchejte: zazálohujte, provádějte změny jednu po druhé a každý krok otestujte. Bezpečná konfigurace v kombinaci se správnou hostingovou infrastrukturou a pravidelnou údržbou činí váš WordPress web mnohem odolnějším. Pokud plánujete bezpečnější a udržitelnější infrastrukturu, můžete si prohlédnutím řešení Hostragons WordPress hosting, SSL certifikát a registrace domén určit výchozí bod vhodný pro vaše potřeby.

Často kladené otázky

Je bezpečné upravovat soubor wp-config.php?

Ano, pokud správně zálohujete a změny aplikujete kontrolovaně, je to bezpečné. Avšak jediná chyba v syntaxi může ovlivnit přístup na web. Proto nejprve vytvořte zálohu souborů a databáze a poté nastavení aplikujte a jedno po druhém testujte.

Co se stane, když změním salt klíče v souboru wp-config.php?

Všechny aktivní uživatelské relace budou ukončeny a uživatelé se musí znovu přihlásit. Tato operace nemaže obsah ani nepoškozuje databázi. Je to rychlé opatření doporučované zejména po podezřelém přihlášení, riziku administrátorského účtu nebo narušení bezpečnosti.

Mělo by být WP_DEBUG na živém WordPress webu zapnuté?

Ne. Pokud je WP_DEBUG na živém webu zapnuté, mohou chybové zprávy návštěvníkům prozradit technické informace. Bezpečným přístupem je nezobrazovat chyby na obrazovce a používat kontrolované logování pouze pro krátkodobé potřeby.

Blokuje DISALLOW_FILE_EDIT aktualizace pluginů a šablon?

Ne, DISALLOW_FILE_EDIT pouze vypíná editor souborů v administraci. Aktualizace pluginů a šablon pokračují normálně. Pro vypnutí i aktualizací jsou nutná jiná a více omezující nastavení.

Jaká by měla být oprávnění souboru wp-config.php?

Liší se podle konfigurace serveru, ale cílem je udržovat soubor s nejnižším oprávněním, které nenaruší provoz. 777 by se rozhodně nemělo používat. Ve většině prostředí může fungovat 600, 440 nebo 644; po změně je třeba otestovat web a administraci.

Sdílejte tento článek:

Tým Hostragons

Aktuální průvodci od našeho týmu odborníků na hosting, servery a doménová jména. Pojďme společně najít to správné řešení pro váš projekt.

Kontaktujte nás