В разных WR-скриптах есть потенциальная возможность взлома админки. Это, может быть, получится не на любом хостинге (если правильно настроить права доступа), но стОит вызвать сбой PHP-интерпретатора, как выдаётся PHP-код страницы. То есть, в случае файла config.php - код, где прописан MD5 пароля админа. Сразу не сломают, но, если хватит времени (скажем, пользуясь чужим сервером через задефейсенную страницу с шеллом), MD5 можно расшифровать. Особенно при коротком пароле.
Понимаю, что опасность в известной мере теоретическая, и всё же нужен способ её избежать. Предлагаю с этой целью создать в папке скрипта файл .htaccess со следующим кодом:
Код:
<files config.*>
Order allow,deny
deny from all
</files> |
Главная сайта