最近在分析请求链接的时候发现有对wp-config.php.bak的下载请求,被吓了一跳。在WordPress的某些升级操作中,会特意备份wp-config.php方便出现问题后的回退。如果有人恶意下载这个文件,会导致数据库密码以及配置信息的泄漏,后果影响很大。
对于使用Apache 2.4的服务器来说,比较简单,只要在.htaccess中,使用如下配置即可:
#reject all .bak,.old file download because wordpress upgrade may rename
#wp-config.php to wp-config.php.bak
<FilesMatch (.*)\.(bak|old)>
Order allow,deny
deny from all
</FilesMatch>