Głupie pytanie, prawda? niestety, muszę jednoznacznej odpowiedzi,Czy haker może uzyskać dostęp do mojej bazy danych, jeśli pozostawię domyślną wartość klucza uwierzytelniającego w moim wp-config.php?
Oto Sitch:
stworzyliśmy witrynę dla klienta, który używał DreamHost jako ich dostawcy, przeciwko naszemu rozsądkowi i rozwagę. Klient korzystał z DreamHosts - instalacja jednoprzyciskowa WordPressa, wersja 3.0.
W pośpiechu, aby strona została wykonana, Klucze uwierzytelniające i sole w pliku wp-config.php pozostały domyślną frazą, "umieść tu swoją unikatową frazę" lub cokolwiek innego.
To moje obecne rozumienie zgodnie z Kodeksem WP, że te klucze są używane do dodawania zabezpieczeń do plików cookie użytkowników.
Niemniej jednak, w ciągu około miesiąca, z dowolnego powodu opróżniono bazę danych witryny. nie the information_schema, tylko całe tabele WP. Dziwne też było to, że kopie zapasowe DreamHost dla tej bazy danych również były puste.
Klient nazywa, patrzyliśmy na niego, ale nie można nazwać DreamHost, wówczas klient znalazł domyślnego uwierzytelniania klucze w miejscu i zaczął ostrzenia pochodnie widły/oświetlenie itd
Więc moje pytanie brzmi: to, czy jest nawet możliwe uzyskanie dostępu do bazy danych, jeśli wiesz, że klucz autoryzacji jest pozostawiony przy domyślnej frazie?
Przeprowadziłem dokładne wyszukiwanie, ale niestety nie odkryłem niczego, co wyraźnie stanowi inaczej.
Jeszcze raz dziękuję Stack Overflow, za powstrzymanie mnie od płonącego stosu.
Domyślne klucze uwierzytelniające to "umieść tu swoją unikatową frazę". –
thx tak dużo za szybką odpowiedź. Myślałem podobnie. Potrzebowałem tylko szybkiej weryfikacji. Układaj na ratunek! – joelrnorris
Ostatnio dowiedziałem się, że pozostawienie wp-config.php w domyślnym katalogu jest złe juju. Zaleca się, aby przenieść go na wyższy poziom, ponieważ pozwolenie będzie tylko zapewniać dostęp do apache (lub dowolnego serwera). – joelrnorris