Cómo ofuscar wp-config.php o código en WordPress

Question

Cómo ofuscar wp-config.php o código en WordPress

4 jul 2017, 02:53:23

Vistas: 1.14K

Votos: 0

En el archivo wp-config.php Archivo de configuración de WordPress mostrando credenciales visibles se muestran claramente el nombre de usuario y contraseña de la base de datos.

Entonces, ¿cómo ofuscar wp-config.php o el código? Varias páginas recomiendan software como: ioncube, php encoder o zenguard pero no sé cómo ofuscar wp-config.php directamente Ejemplo: Pregunta: El desarrollador no quiere que alguien obtenga el código y configure el sitio nuevamente en otro servidor. Pero el desarrollador tiene una clave para descifrar wp-config.php y puede configurarlo. ¿Y cuál es el beneficio de la clave secreta https://api.wordpress.org/secret-key/1.1/salt/ en WordPress?

Rei

44

seguridad

Todas las respuestas a la pregunta

Comentarios

Gracias @xvilo. Moví el archivo wp-config.php a una carpeta no pública. Aquí @chrisguitarguy y @aaron-adams respondieron claramente

Rei

16 ago 2017 09:10:47

xvilo 366 · Accepted Answer · 2017-07-04T06:57:26Z

No estoy seguro de por qué querrías ofuscar tu archivo wp-config.php. No es accesible desde el exterior y WordPress necesita poder leer el archivo.

Si vas a ofuscarlo, es bastante fácil desofuscarlo. Ya que necesitas alterar el núcleo de WordPress (no recomendado) para que desofusque el archivo. Y si tienen acceso a wp-config.php, también tienen acceso al proceso de desofuscación.

Si vas a encriptarlo, es bastante fácil desencriptarlo ya que necesitas alterar el núcleo de WordPress (no recomendado) para que desencripte el archivo. Y si tienen acceso a wp-config.php, también tienen acceso al proceso de desencriptación y a la clave.

Una cosa que puedes hacer para "reforzar" tu seguridad es colocar el archivo wp-config.php un directorio arriba. De esta manera no está en tu carpeta public_html/, y personas con menos experiencia no sabrían de su existencia.

También puedes poner las configuraciones de la base de datos o solo la contraseña en una variable de entorno. De esta manera puedes establecer esas configuraciones globalmente y solo poner las variables en lugar del texto allí. Pero de nuevo, si alguien puede acceder a la base del código, podría fácilmente crear lógica adicional para mostrarles esas cosas.