Если вы занимаетесь или просто интересуетесь безопасностью Вордпресса, вы должны быть в курсе, что его конфиг, то есть файл wp-config.php
, может не лежать в корне сайта (и не должен там быть). Он должен располагаться в файловой иерархии уровнем выше. Но рассказывать об этом злоумышленнику не надо. Пусть он думает, что конфиг лежит в корне и что он защищен, пусть ломает.
В .htaccess
это можно сделать так:
RedirectMatch 403 /wp-config\.php$
или так:
<Files wp-config.php>
order deny,allow
deny from all
</files>
В конфиге Nginx
можно так:
location = /wp-config.php {deny all;}
Оригинал: VK.com