通过对WordPress的安全性进行措施，通过移动wp-config.php文件来避免潜在风险

我是@yadon_yadon_yadon_don_don，在Web制作公司Mhand担任工程师。
最近进行了WordPress相关安全措施的检查。
主要参考了这个页面。
现在我要介绍一下我觉得有趣的“wp-config.php的强化”。
即使没有专业知识，只需复制粘贴代码就可以完成设置。
所需时间大约为5到10分钟。

设置的方式

将wp-config.php文件移动

复制位于WordPress安装目录中的wp-config.php文件，并粘贴到比文档根目录更高一级的目录中。

考虑到可能会安装多个WordPress网站，建议您创建一个名为wp_config的目录，位于文档根目录上一级或更高级别的位置，并通过子域名或安装目录名称对目录进行分类。

wp_config/
  wordpress01/wp-config.php
  wordpress02/wp-config.php
  wordpress03/wp-config.php
public_html/
  wordpress01/
    ここに実際のwp-config.phpやwp-contentディレクトリがある
  wordpress02/
    ここに実際のwp-config.phpやwp-contentディレクトリがある
  wordpress03/
    ここに実際のwp-config.phpやwp-contentディレクトリがある

修改原始wp-config.php文件的内容，使其读取复制目标wp-config.php文件。

请将源文件（安装了WordPress的目录）中的wp-config.php文件复制如下所示，并包含并加载到目标wp-config.php文件中。

<?php
/** WP設置ディレクトリへの絶対パス */
if ( !defined('ABSPATH') )
	define('ABSPATH', dirname(__FILE__) . '/');

/** wp-config.phpの内容が設置されたファイルのインクルード */
include(ABSPATH.'../../wp_config/wordpress01/wp-config.php');

在关于「ABSPATH」的相关描述中，参考资料中的Aaron Adams的文章中有所记载。
如果没有这个描述，就无法成功地包含wp-settings.php，并会产生错误。
所做的操作是，在复制源wp-config.php中先定义了「ABSPATH」。
如果不进行这个定义，那么「ABSPATH」的定义将在复制目标路径下进行，并返回一个错误，指示不存在名为”wp-settings.php”的文件。

实际错误

Warning: require_once(…/wp_config/wordpress01/wp-settings.php): failed to open stream: No such file or directory in …/wp_config/wordpress01/wp-config.php

将两个wp-config.php文件的权限更改为400。

请将两个wp-config.php的权限更改为400。
请注意，如果您先执行这项操作，将无法编辑wp-config.php。

关于实际效果

由于实施时间短暂，实际效果尚不明显，但至少可以期待以下效果。

避免重要信息泄露的风险

wp-config.php里保存着非常重要的数据库信息等。
而且，它的位置通常位于Wordpress安装位置的下一层，因此很容易被预测到。
基本上，即使不采取任何措施，直接访问wp-config.php的URL也不能查看其中的信息。
但是如果某种情况被突破了，那么这些信息就会泄露出去。
采取这种措施，即使被突破了，只会泄露引用路径，起到了信息泄露防止的作用。

可以在安全的地方备份重要信息。

如果在WordPress中遭受攻击，wp-config.php可以说是一个易受攻击的文件。

如果wp-config.php被覆盖，将显示其他网站。

这种攻击相当普遍。

因此，我认为采取这种安全措施和备份是非常合理的方法。

最后

关于优点，可能还有其他的。
如果我注意到后，我会追加的。
这个对策虽然相对简单实施，但是能够解释出各种效果，也能给人以实际行动的感觉，所以我个人非常喜欢这个对策。

我很感谢您提供的参考，https://kinsta.com/jp/blog/wordpress-security/，
其中详细列出了各种安全措施，对我非常有帮助。
非常感谢您。