我在共享服务器上托管我的Wordpress博客。它是一个带有Apache,PHP,MySQL的Ubuntu Linux服务器。客户文件存储在/ home下的单独文件夹中。
有关Wordpress博客的所有敏感信息(如数据库用户名和密码)都默认存储在文件wp-config.php中。我试图在此服务器上包含此文件来自另一个主机帐户(只需使用相对路径,如../MyHomeFolder/wp-config.php)。而且惊喜!它可以使用我的凭据连接到我的数据库!
有没有办法保护我的数据库不受我的邪恶邻居的影响?
托管公司应该做些什么来防止客户侵入彼此的数据库?我个人认识系统管理员,我可以告诉他他必须做什么。
编辑:我的wp-config.php文件的权限是644.所以,我的邻居不能简单地打开它。但是,所有PHP文件都由apache用户运行。所以,他们可以包括它。
答案 0 :(得分:2)
不要打扰。如果您的托管服务提供商确实 草率与安全性,您应该认真考虑切换到其他提供商。
答案 1 :(得分:1)
有没有办法保护我的数据库免受邪恶邻居的侵害?
使用chmod更改文件权限以拒绝读取权限。虽然这取决于如何在服务器上配置Apache和用户帐户。可能无法阻止对其他用户的文件读取访问,仍然允许Apache读取它。您可以尝试chmod 600 <filename>,看看您的网站是否仍然加载。如果没有,请尝试chmod 640 <filename>,然后尝试使用其他用户帐户阅读。
托管公司应该做些什么来阻止客户侵入彼此的数据库?我个人认识系统管理员,我可以告诉他他必须做什么。
他应该使用chroot jails。