Domanda sciocca, giusto? ahimè, ho bisogno di una risposta definitiva,Un hacker può accedere al mio database se ho lasciato il valore della chiave di autenticazione predefinito sul mio wp-config.php?
Ecco il Sitch:
abbiamo costruito un sito per un cliente che stava usando DreamHost come il loro fornitore, contro il nostro giudizio migliore e advisement. Il client ha usato DreamHosts One-Button-Install di WordPress, 3.0 credo.
Nella fretta di completare il sito, le chiavi di autenticazione e i sali di wp-config.php sono stati lasciati come frase predefinita, 'inserisci qui la tua frase univoca' o qualsiasi altra cosa.
È mia opinione corrente secondo il Codice WP che queste chiavi sono utilizzate per aggiungere sicurezza ai cookie degli utenti.
Tuttavia, in circa un mese, per qualsiasi motivo, il database del sito si è appena svuotato. non l'information_schema, solo l'intera tabella WP. Stranamente anche il fatto che i backup di DreamHost per quel database fossero tutti vuoti.
Il cliente chiama, abbiamo guardato dentro, ma non si può chiamare DreamHost, quindi il cliente ha trovato il default Auth chiavi a posto, e cominciò affilatura torce forconi/illuminazione, ecc
Quindi la mia domanda è questo, è anche possibile accedere al database se si sa che una chiave di autorizzazione è lasciata alla frase predefinita?
Ho condotto una ricerca approfondita, ma purtroppo non ho scoperto nulla che affermasse esplicitamente il contrario.
Grazie ancora Stack Overflow, per tenermi lontano dalla pira in fiamme.
Le chiavi di autenticazione predefinite sono "inserisci qui la tua frase univoca". –
così tanto per la risposta tempestiva. Stavo pensando allo stesso modo. Ho solo bisogno di una rapida verifica. Stack in soccorso! – joelrnorris
ho scoperto di recente che lasciare il tuo wp-config.php nella directory predefinita è cattivo cattivo juju. La raccomandazione è di spostarlo di un livello, in quanto l'autorizzazione vi darà solo l'accesso a Apache (oa chiunque richieda serveradmin). – joelrnorris