एक हैकर मेरे wp-config.php के साथ क्या कर सकता है


11

मैं अपने वर्डप्रेस ब्लॉग को सुरक्षित करने की कोशिश कर रहा हूं। मैंने वेब पर कुछ पोस्ट पढ़ी हैं कि मुझे अपना बदलना चाहिए table_prefixऔर मुझे छिपाना चाहिए wp-config.php। हालांकि, मुझे नहीं मिला? एक हमलावर मेरे साथ क्या कर सकता था wp-config.php?

मेरा मतलब है कि मेरे db विन्यास हैं, लेकिन हमलावर को मेरे DB_HOSTउदाहरण के लिए मेरी ज़रूरत है , जो कि मेरे db से जुड़ने के लिए इतना आसान नहीं है? (मेरे मामले में इसके:, define('DB_HOST', 'localhost');जो हमलावर मेरे db से जुड़ने के लिए उपयोग नहीं कर सकता है? )

या मैं sth याद आ रही है?

मैं वास्तव में आपके उत्तर की सराहना करता हूँ!


मुझे लगता है, उसके लिए SQL इंजेक्षन करना आसान होगा। अभिनय किया। इसका जवाब देने के लिए विशेषज्ञों का इंतजार है।
राबर्ट ह्यू ने

आप इसे प्रोग्रामिंग पजल्स एंड कोड गोल्फ बीटा पर भी पोस्ट कर सकते हैं और देख सकते हैं कि लोग क्या करते हैं। :)
जोशुआ टेलर

1
@JoshuaTaylor कृपया सं। स्पष्ट नैतिक मुद्दों के अलावा, यह नहीं है कि हमारी साइट किस बारे में है: हम केवल उन सवालों को पसंद करते हैं जो एक निर्णायक जीत की कसौटी पर खरा उतरते हैं, जो यह तय करते हैं कि कौन सा समाधान जीतता है, न कि "अरे, चलो सभी कोड लिखते हैं और मज़े करते हैं! हां!"
दोरचनाब

@Doorknob खैर, जाहिर है यह एक लोकप्रियता प्रतियोगिता होगी। लेकिन बयाना में, मुझे उम्मीद थी कि ":)" यह बताएगा कि मैं गंभीर नहीं था। यदि किसी ने परिणामस्वरूप अपनी wp-config फाइल पोस्ट करने की कोशिश की है, तो कृपया मेरी माफी स्वीकार करें।
जोशुआ टेलर

जवाबों:


9

localhostउस मशीन को संदर्भित करता है जिस पर वह चल रहा है। उदाहरण के लिए मेरी अपनी साइट tomjn.com पर लोकलहोस्ट है 127.0.0.1जैसा कि यह हमेशा होता है। इसका मतलब यह नहीं है कि हैकर को पता नहीं है कि कहां से कनेक्ट करना है, इसका मतलब हैकर के localhostसाथ बदल जाता है tomjn.com

बेशक अगर मेरे सामने एक प्रॉक्सी बैठी है तो यह काम नहीं करेगा, लेकिन यह ध्यान रखें कि अगर हमलावर की पहुंच मेरी है wp-config.php, तो उसी एक्सेस से उन्हें उस मशीन पर अन्य काम करने होंगे।

तो अब हमलावर के पास आपके डेटाबेस का विवरण है, और वे पढ़ सकते हैं wp-config.php। उनके पास अब आपके डेटाबेस में सब कुछ तक पहुंच है, और आपके डेटाबेस में कुछ भी बदल सकता है।

आपके इंस्टॉल की सुरक्षा के आधार पर, वे स्वयं के लिए एक उपयोगकर्ता बना सकते हैं, लॉग इन कर सकते हैं, PHP शेल स्क्रिप्ट के साथ ज़िप के माध्यम से एक प्लगइन अपलोड कर सकते हैं, और कमांड जारी करना शुरू कर सकते हैं या साइट को बॉट नेट के हिस्से के रूप में उपयोग कर सकते हैं।

उनके पास आपके लवण और गुप्त कुंजी भी हैं (यदि आपके पास इनमें से कोई भी नहीं है, तो खराब खराब है), इसलिए अपने उपयोगकर्ताओं के पासवर्डों को मजबूर करना काफी आसान है। उनकी ईमेल तक पहुंच भी है।

यह कहना wp-config.phpकि सबसे खराब चीजों में से एक है जो हो सकता है। इसके साथ और भी कई चीजें की जा सकती हैं, लेकिन इसके परिणामस्वरूप होने वाले हर संभावित हमले को टाइप करने में महीनों लग जाएंगे।

आपके wp-config.phpद्वारा अधिग्रहित की गई घटना में , यह संभावना है कि एक स्वचालित हमले की स्क्रिप्ट ने ऐसा किया, न कि किसी वास्तविक व्यक्ति ने। अपने सभी विवरण बदलें, सभी पासवर्ड रीसेट करें, और छेद बंद करें।


2
इसका मतलब यह नहीं है कि हैकर को पता नहीं है कि कहां से कनेक्ट करना है, इसका मतलब हैकर के localhostसाथ बदल जाता है tomjn.com> यह मानकर कि आपके पास बाहरी दुनिया के लिए सुलभ डेटाबेस का पोर्ट है। यदि आप फ़ायरवॉल नियमों में पोर्ट को बंद कर देते हैं, तो आप सुरक्षित नहीं रहेंगे, केवल डेटाबेस से जुड़ने के लिए स्थानीय नेटवर्क (कंप्यूटर पर वर्डप्रेस स्वयं चलाने सहित) पर कंप्यूटर को अनुमति दे सकते हैं?
IQAndreas सेप

1
यह अभी भी सही स्थान होगा, लेकिन हाँ बंदरगाह प्रासंगिक हैं, मैं मुख्य रूप से प्रश्न में मूल नोट पर लक्ष्य कर रहा था
टॉम जे नोवेल

2

आप केवल डेटाबेस के लिए उपयोग को स्वीकार करते हैं से localhost(इस परिभाषित के द्वारा प्राप्त नहीं किया गया है DB_HOSTके रूप में localhost)? अपने आप से बहुत अधिक नहीं (सबसे खराब स्थिति एक हमलावर के खाते को संभालने वाली होगी), लेकिन अन्य कमजोरियों के संयोजन में यह एक हमलावर के लिए आपके कॉन्फ़िगरेशन तक पहुंच के लिए सहायक हो सकता है।

लॉग इन प्रमाण - पत्र

लोग अपने उपयोगकर्ता नाम और पासवर्ड का पुन: उपयोग करते हैं। एक हमलावर जाँच करेगा कि क्या आपका डेटाबेस उपयोगकर्ता नाम और पासवर्ड (या उनमें से भिन्नता) आपके वर्डप्रेस इंस्टॉलेशन के लिए काम करता है, आपके होस्टर के लिए, आपके ईमेल के लिए, आदि।

बहुत कम से कम एक हमलावर को यह पता चलता है कि आप किस तरह के पासवर्ड का उपयोग करते हैं (पूरी तरह से यादृच्छिक, केवल लोअरकेस / संख्या, लंबाई, आदि)।

तालिका उपसर्ग

यदि कोई SQL इंजेक्शन संभव है, तो एक हमलावर को तालिका के नाम पता होना चाहिए। डेटाबेस के आधार पर, यह बहुत आसान हो सकता है, या इसमें अनुमान लगाना शामिल हो सकता है। यदि इसमें अनुमान लगाना शामिल है, तो तालिका का उपसर्ग करना सबसे अच्छा है।

कुंजी और साल्ट

मैंने इस लेख को यह सुझाव देते हुए पाया कि आप वास्तव में ये लीक नहीं करना चाहते हैं (मूल रूप से, कोई भी आपके व्यवस्थापक खाते को ले सकता है), हालांकि मुझे नहीं पता कि यह कैसे अप-टू-डेट है।

डेटाबेस चारसेट

कुछ SQL इंजेक्शन वर्ण सेट पर निर्भर करते हैं, इसलिए यह हमलावर के लिए यह जानना अच्छा है।

सारांश

यदि आप पासवर्ड का पुन: उपयोग नहीं करते हैं, तो आप डेटाबेस तक बाहरी पहुंच की अनुमति नहीं देते हैं, और यदि आपके पास कहीं भी कोई SQL इंजेक्शन नहीं है, तो मुख्य चिंता कुंजी और लवण की होगी।


यह लेख काफी अद्यतन है। आप अपने लवण और चाबियाँ लीक नहीं करना चाहते हैं। वे निजी जानकारी हैं। यदि आपको भी संदेह है कि उन्हें उपलब्ध कराया गया है, तो तुरंत उन्हें यादृच्छिक डेटा के किसी अन्य सेट में बदल दें। उन्हें बदलने के लिए कोई वास्तविक नकारात्मक पहलू नहीं है, यह बस आपको वेबसाइट से लॉग आउट करेगा और आपको फिर से लॉग इन करना होगा। आप यहाँ से कुंजियों और लवणों का एक नया यादृच्छिक सेट प्राप्त कर सकते हैं: api.wordpress.org/secret-key/1.1/salt
ओटो

1

मुझे लगता है कि आप रीड एक्सेस के बारे में पूछ रहे हैं, क्योंकि लेखन एक्सेस मूल रूप से अपनी साइट पर अपनी पसंद के अनुसार कुछ भी करने के लिए अपने कोड को इंजेक्ट करने के लिए है।

आपकी यह धारणा कि DB की जानकारी संवेदनशील नहीं है, गलत है। मान लें कि आपकी साइट को गोडैडी में होस्ट किया गया है। godaddy AFAIK एक समर्पित mysql सर्वर का उपयोग कर रहा है जिसे शायद केवल अपने स्वयं के सर्वर से ही एक्सेस किया जा सकता है, लेकिन अगर मुझे आपका विवरण पता है कि मेरे लिए एक Godaddy खाता बनाना और एक स्क्रिप्ट लिखना कितना कठिन है जो आपके DB तक पहुँचता है? स्थानीय डीबी के मामले में शोषण करना कठिन है, लेकिन साझा होस्टिंग सर्वर पर आपके साथ सर्वर साझा करने वाली 100 साइटें हो सकती हैं, क्या आप उन पर भरोसा करने के लिए पर्याप्त सुरक्षित हो सकते हैं कि श्री ईविल उन्हें तोड़ नहीं सकते हैं और अपनी साइट पर हमला करने के लिए उनका उपयोग कर सकते हैं?

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.