JaydenYoonZK/wp-config-doctor
GitHub: JaydenYoonZK/wp-config-doctor
一款纯浏览器端的 WordPress 配置文件审计工具,帮助用户安全地检查并强化 wp-config.php 的安全与性能配置。
Stars: 0 | Forks: 1
# WP Config Doctor 🩺
粘贴你的 `wp-config.php`,即可获得通俗易懂的安全与性能审计报告,外加一个全新的 salt 生成器。所有操作完全在你的浏览器中运行,因此你的数据库凭据绝不会离开你的设备。
**[打开在线工具](https://jaydenyoonzk.github.io/wp-config-doctor/)** 或 **[查看示例审计结果](https://jaydenyoonzk.github.io/wp-config-doctor/?demo)**。不会上传任何数据。
## 为什么开发这个工具
wp-config.php 是 WordPress 安装中最重要的文件,也是大多数人配置一次就再也不管的文件。常见的错误隐蔽且危险:在生产环境中保留 debug 模式导致泄露服务器路径、八个安全 salt 仍然保留着示例 "put your unique phrase here" 占位符、文件编辑器处于开启状态,导致一个被盗的管理员账号就能实现完整的代码执行。这些情况都不会报错。这个工具就是用来发现它们的。
## 检查内容
每项发现都会按严重程度进行评级,并附上需要添加或修改的确切行:
- **安全密钥和 salt**:八个密钥是否全部存在,是否仍保留示例占位符,是否重复,是否过短
- **Debug 暴露**:`WP_DEBUG`、`WP_DEBUG_DISPLAY` 以及强制的 `ini_set('display_errors', 1)`
- **数据库凭据**:空密码或常见的默认密码(在本地检查,绝不显示或发送)
- **文件编辑**:`DISALLOW_FILE_EDIT`
- **传输**:`FORCE_SSL_ADMIN`
- **表前缀**:是否仍为默认的 `wp_`
- **强化与性能附加项**:自动更新、debug log 位置、环境类型、文章修订版本、内存限制
它还使用 Web Crypto API 生成八个全新的 64 字符 salt,可直接安全地粘贴到 wp-config.php 中。
## 在这里粘贴我的配置安全吗?
安全。wp-config.php 包含你的数据库密码,所以这是应该问的正确问题。该页面是静态的,且审计完全在你的浏览器中运行:加载后没有任何网络请求,不存储任何内容,你的密码仅用于检查是否为空或是否为常见的默认密码,绝不会回显或传输。打开网络选项卡进行确认,或阅读这个简短的[引擎源码](docs/config.js)。如果你愿意,可以在粘贴前隐去那四行 `DB_`;审计的其余部分仍然有效。
## 使用方法
无需安装:[jaydenyoonzk.github.io/wp-config-doctor](https://jaydenyoonzk.github.io/wp-config-doctor/)
在本地运行:
```
git clone https://github.com/JaydenYoonZK/wp-config-doctor.git
cd wp-config-doctor
npm run serve # http://localhost:8411
```
## 在你自己的项目中使用该引擎
`docs/config.js` 是一个零依赖的 ES module:
```
import { audit, generateSalts } from "./config.js";
const { findings, score } = audit(wpConfigText);
const freshSalts = generateSalts(); // eight define() lines
```
## 测试
```
npm test
```
10 个测试涵盖了 parser(包含带有括号和引号的 salt)、针对强化和脆弱配置的审计规则、重复 salt 检测以及 salt 生成器。
## 许可证
MIT。由 [Jayden Yoon ZK](https://github.com/JaydenYoonZK) 构建和维护。此工具是 WordPress 工具包的一部分,该工具包还包含 [WP Serial Fix](https://github.com/JaydenYoonZK/wp-serial-fix) 和 [WP Plugin Checkup](https://github.com/JaydenYoonZK/wp-plugin-checkup)。
**[打开在线工具](https://jaydenyoonzk.github.io/wp-config-doctor/)** 或 **[查看示例审计结果](https://jaydenyoonzk.github.io/wp-config-doctor/?demo)**。不会上传任何数据。
## 为什么开发这个工具
wp-config.php 是 WordPress 安装中最重要的文件,也是大多数人配置一次就再也不管的文件。常见的错误隐蔽且危险:在生产环境中保留 debug 模式导致泄露服务器路径、八个安全 salt 仍然保留着示例 "put your unique phrase here" 占位符、文件编辑器处于开启状态,导致一个被盗的管理员账号就能实现完整的代码执行。这些情况都不会报错。这个工具就是用来发现它们的。
## 检查内容
每项发现都会按严重程度进行评级,并附上需要添加或修改的确切行:
- **安全密钥和 salt**:八个密钥是否全部存在,是否仍保留示例占位符,是否重复,是否过短
- **Debug 暴露**:`WP_DEBUG`、`WP_DEBUG_DISPLAY` 以及强制的 `ini_set('display_errors', 1)`
- **数据库凭据**:空密码或常见的默认密码(在本地检查,绝不显示或发送)
- **文件编辑**:`DISALLOW_FILE_EDIT`
- **传输**:`FORCE_SSL_ADMIN`
- **表前缀**:是否仍为默认的 `wp_`
- **强化与性能附加项**:自动更新、debug log 位置、环境类型、文章修订版本、内存限制
它还使用 Web Crypto API 生成八个全新的 64 字符 salt,可直接安全地粘贴到 wp-config.php 中。
## 在这里粘贴我的配置安全吗?
安全。wp-config.php 包含你的数据库密码,所以这是应该问的正确问题。该页面是静态的,且审计完全在你的浏览器中运行:加载后没有任何网络请求,不存储任何内容,你的密码仅用于检查是否为空或是否为常见的默认密码,绝不会回显或传输。打开网络选项卡进行确认,或阅读这个简短的[引擎源码](docs/config.js)。如果你愿意,可以在粘贴前隐去那四行 `DB_`;审计的其余部分仍然有效。
## 使用方法
无需安装:[jaydenyoonzk.github.io/wp-config-doctor](https://jaydenyoonzk.github.io/wp-config-doctor/)
在本地运行:
```
git clone https://github.com/JaydenYoonZK/wp-config-doctor.git
cd wp-config-doctor
npm run serve # http://localhost:8411
```
## 在你自己的项目中使用该引擎
`docs/config.js` 是一个零依赖的 ES module:
```
import { audit, generateSalts } from "./config.js";
const { findings, score } = audit(wpConfigText);
const freshSalts = generateSalts(); // eight define() lines
```
## 测试
```
npm test
```
10 个测试涵盖了 parser(包含带有括号和引号的 salt)、针对强化和脆弱配置的审计规则、重复 salt 检测以及 salt 生成器。
## 许可证
MIT。由 [Jayden Yoon ZK](https://github.com/JaydenYoonZK) 构建和维护。此工具是 WordPress 工具包的一部分,该工具包还包含 [WP Serial Fix](https://github.com/JaydenYoonZK/wp-serial-fix) 和 [WP Plugin Checkup](https://github.com/JaydenYoonZK/wp-plugin-checkup)。标签:Syscall, Web开发, WordPress, 前端工具, 安全基线, 教学环境, 数据可视化, 暗色界面, 自定义脚本