Questions tagged «wp-config»

如今，最常见的安全性最佳实践之一似乎是将wp-config.php目录移到高于vhost文档根目录的位置。我从来没有真正找到过一个好的解释，但是我假设这是为了最大程度地减少读取数据库密码在webroot中恶意或感染脚本的风险。 但是，您仍然必须让WordPress访问它，因此您需要扩展open_basedir以包括文档根目录上方的目录。这不仅破坏了整个目的，而且还可能将服务器日志，备份等暴露给攻击者？ 还是该技术只是试图防止出现这样的情况，即在这种情况下wp-config.php任何请求的人都将其显示为纯文本http://example.com/wp-config.php，而不是被PHP引擎解析？这似乎是非常罕见的情况，并且不会超过将日志/备份/等暴露给HTTP请求的不利影响。 也许可以在某些托管设置中将其移到文档根目录之外，而无需暴露其他文件，但在其他设置中则不能？ 结论： 在这个问题上经过反复的反复讨论之后，出现了两个答案，我认为应该将其视为权威的答案。亚伦·亚当斯（Aaron Adams）很好地支持移动 wp-config，而克里斯吉塔吉（Chrisguitarguy）很好地反对了。如果您不是该线程的新手，并且不想阅读整个内容，那么这是您应该阅读的两个答案。其他答案要么是多余的，要么是不正确的。

135 security  customization  wp-config 

我最近遇到一个问题，因为我没有“手动安装”或“一键安装”选项，所以无法安装WP Smush Pro插件。 我碰到了这篇文章，建议调整中的设置wp-config.php。我添加了建议的设置，但是似乎最重要的设置是： define('FS_METHOD', 'direct'); 我想知道什么是真正的问题应我身边有设置FS_METHOD到direct？安装插件还有其他选择吗？ 这是官方文档必须说的： FS_METHOD强制使用文件系统方法。它只能是“ direct”，“ ssh2”，“ ftpext”或“ ftpsockets”。通常，只有在遇到更新问题时才应更改此设置。如果您更改了它但无济于事，请将其更改回/删除。在大多数情况下，如果自动选择的方法无效，则将其设置为“ ftpsockets”即可。 （主要首选项）“直接”强制它使用PHP内部的直接文件I / O请求，这会给配置不良的主机带来安全性问题，这在适当时会自动选择。

36 plugins  security  wp-config  ftp 

有没有将wp-config.php文件包含在版本控制存储库中的最佳实践？ 我正在考虑使用这种类型的配置创建一个新站点（类似于Alex King和Mark Jaquith）： /index.php /local-config.php /wp-config.php /wp/ (core) /wp-content/ (plugins, themes, etc.) 万一该存储库公开，如何在不将密码暴露给git的情况下执行此操作？ 尤其是在Mark的帖子中，local-config.php可以存储本地数据库的详细信息和密码，而生产版本则保留在wp-config.php中。这是否太麻烦了，我应该只保留wp-config.php的未版本化吗？

35 wp-config  version-control 

首先，我阅读 了有关此过程的许多文章。但是，由于各种原因，由于缺乏甚至是抽象的示例，或者可能过于抽象，该过程仍然难以实现或进行故障排除。还有一些“不能做”的帖子，几乎总是跟着“ 3.5，您现在可以”的告诫，因此是否可以保持模棱两可，尽管无疑是不平凡的。 摘要： 如何将wordpress多站点（WPMS）从root.com移到root / blogs？ 对于此示例，我们将WPMS从“ root.com”移至“ root.com/blogs” 我了解我需要适当地更新数据库和wp-config.php中的路径。看来我可能还必须更新.htaccess？我也知道搜索/替换和mysql查询更新的序列化问题。 我有一个WPMS，我已经更新到3.5。我发现下表包含域和路径信息 移至子目录之前的现有工作配置 1. wp_blogs select blog_id, domain, path from wp_blogs; +---------+-------------+--------+ | blog_id | domain | path | +---------+-------------+--------+ | 1 | root.com | / | | 2 | root.com | /matt/ | +---------+-------------+--------+ 2. wp_site select * in …

20 multisite  htaccess  directory  wp-config 

我正在客户端也可以访问的服务器上开发站点，而我想做的WP_DEBUG只是向管理员显示。关于此问题，请参考Yoast的文章： if ( isset($_GET['debug']) && $_GET['debug'] == 'true') define('WP_DEBUG', true); WP_DEBUG仅针对?debug=true附加到它们的网址显示，例如http://domain.com/?debug=true 我当时在想调试栏可能默认情况下在其中保存一些信息（无论是否WP_DEBUG打开），但是我发疯了，因为我不相信这种情况。 因此，我认为有用的是检查当前用户（具有该manage_options功能，然后通过add_query_arg()以下方式运行链接： function zs_admin_debug() { if (!current_user_can('manage_options')) { add_query_arg('debug','true'); } } 但是我不确定的是-是否可以使用钩子来影响网站上的所有链接？这样，管理员总会看到调试，我认为这将非常有用。与往常一样感谢您的帮助！

20 debug  wp-config  wp-debug 

我在开发环境中使用WP_DEBUG_LOG，而wp-content目录中的debug.log没有任何问题。 有时，当我需要调试某些产品时，我会在生产环境中打开WP_DEBUG，而我仍想使用该日志，但希望将其重定向到Web根目录之外的某个位置。使用WP_DEBUG_LOG是否可能？

18 debug  wp-config 

我将内容从生产服务器迁移到开发服务器，以尝试同步所有环境。我使用了多合一WP迁移插件。 现在，当我访问dev.domain.com时，我将被转发到http://dev.domain.com/wp-signup.php?new=dev.domain.com 听起来其中一个数据库值必须不正确，因此WordPress在这里转发了我。如果禁用多站点，一切似乎都可以正常运行。 这是我的.htaccess： <FilesMatch "(\.(bak|config|sql|fla|psd|ini|log|sh|inc|swp|dist)|~)$"> Order allow,deny Deny from all Satisfy All </FilesMatch> <FilesMatch "^(wp-config\.php|readme\.html|license\.txt)"> Order allow,deny Deny from all Satisfy All </FilesMatch> 和我的wp-config： /** Multisite / Wordpress Network **/ define('MULTISITE', true); define('SUBDOMAIN_INSTALL', true); define('DOMAIN_CURRENT_SITE', 'dev.domain.com'); define('PATH_CURRENT_SITE', '/'); define('SITE_ID_CURRENT_SITE', 1); /** fix for Multisite 'SubDomains' - Not Working for …

16 multisite  htaccess  migration  wp-config 

只是一个简单的问题，可能会对安全性有所帮助。我注意到readme.html文件列出了版本号。每次升级后，它会重新出现，licence.txt和wp-config-sample.php也是如此。 有没有一种简单的方法可以让WordPress在升级后自动删除这些文件？ 我已经阻止了版本号显示在meta标签，rss feed，atom等中。 我知道这种类型的安全性并没有那么大的帮助，但只是认为这可能只是一个很小的开始。听说人们可以简单地检查WP-includes中包含的jQuery版本，并交叉引用WP随附的版本。

13 security  wp-config 

我有一个最近发现的WordPress网站在登录页面上出现此错误： 错误：由于意外输出，cookie被阻止。要获得帮助，请参阅此文档或尝试支持论坛。 我只能从访问登录页面wp-login.php，因为/wp-admin/显示空白页面。 我在网上搜索并尝试了许多失败的尝试： 卸下?>并在其末端留出空间functions.php 从而确保了functions.php与wp-config.php曾在开头或末尾没有空格 在Notepad ++中打开wp-config.php并functions.php转换为UTF-8（人们建议使用“不带BOM”，但这只是Notepad ++最新版本中的一个选项-我想UTF-8现在可以这样做） 我设置WP_DEBUG为true，并且没有收到任何错误debug.log，除了2个与我尚未完全上传某些文件有关的错误。提到那个特别的错误nav-menu.php; 这确认它正在报告错误，只是与我的登录问题无关 我_tmp在结尾处重命名了每个插件文件夹，以尝试排除导致问题的所有插件 我还重命名了plugins文件夹，以同时排除所有插件 鉴于我已经尝试了这些事情，并且没有收到任何PHP错误，我还能尝试什么？

13 login  wp-config  cookies 

我试图保护我的wordpress博客。我在网络上阅读了一些帖子，应该改变我的table_prefix身份并且隐藏我的身份wp-config.php。但是，我不明白吗？攻击者可以对我做wp-config.php什么？ 我的意思是我的数据库配置，但是攻击者需要我DB_HOST举例来说，这是不那么容易得到的，为了连接到我的分贝（在我的情况下，其？define('DB_HOST', 'localhost');，其中，攻击者无法使用连接到我的分贝） 还是我想念某物？ 非常感谢您的回复！

11 plugins  security  wp-config 

我将Mac OS X 10.6与Xampp结合使用。 http://wp3.1/ 是我安装WordPress的网址。 物理路径是 /Users/myUserName/Sites/wp3.1/ 我不会以“自然”方式安装插件或主题。我已经在中创建了一个名为“ git”的目录/Users/myUserName/git/。这是我所有git存储库所在的位置。当我想安装插件时，只需在中创建一个符号链接/Users/myUserName/Sites/wp3.1/wp-content/plugins/。这对于简单的插件非常有用，但是如果插件入队的是样式表或脚本，则URL显示为： http://wp3.1/wp-content/plugins/Users/myUserName/git/options-framework-plugin/css/colorpicker.css?ver=3.1.1 我该如何解决？

11 plugin-development  urls  wp-config  paths 

假设我想更改Wordpress网站的最大上传限制，并提供以下值： wp-config.php：128MB php.ini：256MB .htaccess：64MB 那么，WordPress在根据需要进行处理时会优先考虑哪个？

10 htaccess  wp-config  php.ini 

正如问题标题所暗示的那样，我希望了解Wordpress如何与MySQL字符集和排序规则选项一起使用。正如我将在下面显示的那样，事情对我来说没有太大意义。 我按照其安装页面上的说明安装了Wordpress： https://codex.wordpress.org/Installing_WordPress 作为说明的一部分，我按照他们的建议在命令行上手动创建MySQL数据库，即命令： mysql> CREATE DATABASE databasename; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL PRIVILEGES ON databasename.* TO "wordpressusername"@"hostname" -> IDENTIFIED BY "password"; Query OK, 0 rows affected (0.00 sec) mysql> FLUSH PRIVILEGES; Query OK, 0 rows affected (0.01 sec) mysql> EXIT 此外，按照指示，我编辑了“ wp-config.php”文件以使用UTF-8字符集： define( 'DB_CHARSET', …

10 database  mysql  options  wp-config  collation 

从全新的网络安装开始，第一步是在单个站点安装中在wp-config.php文件中增加一行： define( 'WP_ALLOW_MULTISITE', true ); 之后，我们必须转到Tools > Network Setup，输入一些详细信息，例如网络名称和超级管理员电子邮件，最后单击按钮以运行设置。 弹出的下一步实际上是两个步骤： 向文件添加其他常量wp-config.php define( 'MULTISITE', true ); define( 'SUBDOMAIN_INSTALL', true ); define( 'DOMAIN_CURRENT_SITE', 'example.com' ); define( 'PATH_CURRENT_SITE', '/' ); define( 'SITE_ID_CURRENT_SITE', true ); define( 'BLOG_ID_CURRENT_SITE', true ); 在.htaccess文件中添加一些规则。 由于我不进行单个站点安装（不再需要这样做），因此我想将这些常量动态添加到我的wp-config.php文件中： define( 'WP_ALLOW_MULTISITE', true ); if ( SOME_CHECK_IF_STEP-1_WAS_PASSED ) { define( 'MULTISITE', true ); …

10 multisite  installation  wp-config  network-admin  customization 

我还不了解很多Wordpress，我只是想知道： 在安装之前，您必须输入正确的数据，wp-config-sample.php但这还包括数据库密码。那不是很危险吗？我的意思是，有人可以解释一下如何防止仅读取文件并因此获得数据库密码的情况吗？

10 wp-config