Що може зробити хакер із моїм wp-config.php

Я намагаюся захистити свій блог wordpress. Я прочитав кілька публікацій в Інтернеті, які слід змінити table_prefixі приховати wp-config.php. Однак я цього не розумію? Що може зробити з моїм нападником wp-config.php?

Я маю в виду є мої конфігурації БД, але зловмисник потребує в моєму DB_HOST, наприклад, що не так легко отримати, для того , щоб підключитися до БД (В моєму випадку Ітсала :? define('DB_HOST', 'localhost');, Що зловмисник не може використовувати для підключення до БД )

Або я пропускаю що-небудь?

Я дуже ціную вашу відповідь!

localhostвідноситься до машини, на якій працює. Наприклад, на моєму власному сайті tomjn.com localhost такий, 127.0.0.1як є завжди. Це не означає , що хакер не знає , де підключитися, це означає , що хакер Замінює localhostз tomjn.com.

Звичайно, якщо я маю проксі, який сидить попереду, це не спрацює, але майте на увазі, що якщо зловмисник має доступ до мого wp-config.php, той самий доступ дозволив би їм робити інші дії на цій машині.

Тож тепер у зловмисника є ваші дані бази даних, і вони можуть читати wp-config.php. Тепер вони мають доступ до всього, що знаходиться у вашій базі даних, і можуть змінити будь-що у вашій базі даних.

Залежно від безпеки вашої установки, вони можуть створити користувача для себе, увійти в систему, завантажити плагін через zip зі скриптом оболонки PHP і почати видавати команди або використовувати сайт як частину бот-мережі.

Вони також мають ваші солі та секретні ключі (якщо у вас немає жодного з них, погано погано погано), тому грубе примушування паролів користувачів стає значно простішим. Вони також мають доступ до своїх електронних листів.

Досить сказати, що отримання wp-config.php- це одна з найгірших речей, що може статися. З цим можна зробити ще багато речей, але для виправлення кожної можливої ​​атаки, що виникла внаслідок цього, знадобиться кілька місяців.

У випадку, якщо ваше wp-config.phpпридбано, можливо, це зробив автоматизований сценарій атаки, а не фактична особа. Змініть всі свої дані, скиньте всі паролі та закрийте отвір.

Якщо ви лише приймаєте доступ до бази даних з localhost(це не досягається шляхом визначення DB_HOSTяк localhost)? Сам по собі не дуже (найгіршим випадком буде зловмисник, який переймає обліковий запис адміністратора), але в поєднанні з іншими вразливими ситуаціями може бути корисним для зловмисника отримати доступ до вашої конфігурації.

Вхідні дані

Люди повторно використовують свої імена користувачів та паролі. Зловмисник перевірить, чи працюють ваше ім'я користувача та пароль бази даних (або їх варіанти) для встановлення Wordpress, для вашого хостера, для електронної пошти тощо.

Принаймні, зловмисник отримує уявлення про те, які паролі ви використовуєте (цілком випадкові, лише малі / цифри, довжина тощо).

Префікс таблиці

Якщо можлива ін'єкція SQL, зловмисник повинен знати назви таблиць. Залежно від бази даних, це може бути дуже простим, а може включати вгадування. Якщо це стосується здогаду, найкраще мати префікс таблиці.

Ключі та солі

Я знайшов цю статтю, яка говорить про те, що ви дійсно не хочете, щоб вони просочилися (в основному, кожен міг би взяти на себе ваш адміністраторський рахунок), хоча я не знаю, наскільки це актуально.

Шаблон бази даних

Деякі ін'єкції SQL залежать від набору символів, тому зловмисникові це добре знати.

Підсумок

Якщо ви не дозволяєте зовнішній доступ до бази даних, якщо ви не повторно використовуєте паролі, і якщо у вас немає ін'єкцій SQL ніде, головною турботою буде ключ і солі.

Я припускаю, що ви запитуєте про доступ до читання, оскільки доступ до запису - це в основному доступ до введення власного коду, щоб робити все, що йому подобається, на вашому сайті.

Ваше припущення, що інформація про БД не є чутливим, неправильне. Давайте припустимо, що ваш сайт розміщений у godaddy. godaddy AFAIK використовує виділені сервери mysql, до яких, ймовірно, можна отримати доступ лише з власних серверів, але якщо я знаю ваші дані, як важко мені створити обліковий запис godaddy і написати сценарій, який має доступ до вашої БД? У випадку локальних БД важче експлуатувати, але на спільних хостинг-серверах у вас може бути 100 сайтів, які спільно використовують сервер з вами, чи можете ви довіряти їх надійності, щоб містер Зло не зміг увірватися до них і використовувати їх для нападу на ваш сайт?