wp-config中的密码。有危险吗

我还不了解很多Wordpress，我只是想知道：

在安装之前，您必须输入正确的数据，wp-config-sample.php但这还包括数据库密码。那不是很危险吗？我的意思是，有人可以解释一下如何防止仅读取文件并因此获得数据库密码的情况吗？

法典的“加强WordPress”页面包含“保护wp-config.php”一节。它包括将权限更改为440或400。如果服务器配置允许，您还可以将wp-config文件从根目录上移一个目录。

当然，如果有人可以访问您的服务器，则使用这样的密码存储文件会有一定的危险，但是老实说，那时他们已经在您的服务器中了。

最后，您没有太多选择。我从未见过配置WordPress的替代方法。您可以将其尽可能地锁定，但这就是WordPress的构建方式，如果这是一个严重的安全威胁，他们就不会那样做。

为了使您的配置文件与Web根目录保持同一级别（如mrwweb建议）：几个月前，在我们的生产服务器上自动更新了我们的php，但是却停止了apache的运行。因此，每个进入首页的人都可以通过index.php 下载。从理论上讲，任何知道它是WordPress网站的人都可以要求wp-config.php并获取它（如果它已存在于Web根目录中）。当然，如果我们允许远程MySQL连接，他们将只能使用那些数据库凭据，但仍然不酷。我知道这是一个边缘情况，但是很容易使您的配置不可见，为什么不这样做呢？

除非有人可以通过FTP进行访问，否则您不必担心。PHP在到达用户浏览器之前已在服务器上呈现。

这是另一个提示：使用.htaccess保护wp-config.php（和其他任何敏感文件）

将以下内容添加到您所有其他WordPress文件所在的网站目录中的.htaccess文件中：

<Files wp-config.php>
order allow,deny
deny from all
</Files>

从如何加强WordPress安装

如果有人可以读取您的Php文件的内容，则说明您已经被黑了。