Câu hỏi ngớ ngẩn, đúng không? than ôi, tôi cần một câu trả lời rõ ràng,Hacker có thể truy cập vào cơ sở dữ liệu của tôi nếu tôi đã để mặc định giá trị khóa xác thực tại vị trí trong tệp wp-config.php của tôi không?
Dưới đây là sitch:
Chúng tôi xây dựng một trang web cho một khách hàng đã sử dụng DreamHost là nhà cung cấp của họ, đối với bản án và tư vấn tốt hơn chúng tôi. Khách hàng sử dụng DreamHosts One-Button-Install của WordPress, 3.0 Tôi tin tưởng.
Khi vội vàng để hoàn tất trang web, Khóa xác thực và muối trong tệp wp-config.php được để lại làm cụm từ mặc định, 'đặt cụm từ duy nhất của bạn tại đây' hoặc bất kỳ thứ gì.
Đó là sự hiểu biết hiện tại của tôi theo WP Codex rằng các phím này được sử dụng để thêm bảo mật cho cookie của người dùng.
Tuy nhiên, trong khoảng một tháng, vì lý do nào đó, cơ sở dữ liệu của trang web chỉ làm trống. không phải là information_schema, chỉ toàn bộ các bảng WP. Cũng lạ là sao lưu DreamHost cho cơ sở dữ liệu đó cũng trống rỗng.
Các khách hàng gọi, chúng tôi nhìn vào nó, nhưng bạn không thể gọi DreamHost, sau đó khách hàng tìm thấy mặc định Auth Phím tại chỗ, và bắt đầu mài ngọn đuốc pitchforks/ánh sáng, vv
Vì vậy, câu hỏi của tôi là điều này, thậm chí có thể truy cập vào cơ sở dữ liệu nếu bạn biết rằng khóa ủy quyền còn lại trong cụm từ mặc định không?
Tôi đã tiến hành tìm kiếm kỹ lưỡng nhưng không phát hiện ra điều gì có thể nói rõ ràng khác.
Cảm ơn một lần nữa Stack Overflow, để giữ cho tôi khỏi giàn thiêu cháy.
Các khóa xác thực mặc định là 'đặt cụm từ duy nhất của bạn tại đây'. –
thx rất nhiều cho câu trả lời kịp thời. Tôi đã suy nghĩ tương tự. Chỉ cần một số xác minh nhanh chóng. Stack để giải cứu! – joelrnorris
Tôi phát hiện ra gần đây rằng để lại wp-config.php của bạn trong thư mục mặc định là juju xấu xa. Các khuyến nghị là để di chuyển nó lên một mức độ, như sự cho phép sẽ chỉ cung cấp cho apache (hoặc bất cứ ai serveradmin dictates) truy cập. – joelrnorris