एक हैकर मेरे wp-config.php के साथ क्या कर सकता है

मैं अपने वर्डप्रेस ब्लॉग को सुरक्षित करने की कोशिश कर रहा हूं। मैंने वेब पर कुछ पोस्ट पढ़ी हैं कि मुझे अपना बदलना चाहिए table_prefixऔर मुझे छिपाना चाहिए wp-config.php। हालांकि, मुझे नहीं मिला? एक हमलावर मेरे साथ क्या कर सकता था wp-config.php?

मेरा मतलब है कि मेरे db विन्यास हैं, लेकिन हमलावर को मेरे DB_HOSTउदाहरण के लिए मेरी ज़रूरत है , जो कि मेरे db से जुड़ने के लिए इतना आसान नहीं है? (मेरे मामले में इसके:, define('DB_HOST', 'localhost');जो हमलावर मेरे db से जुड़ने के लिए उपयोग नहीं कर सकता है? )

या मैं sth याद आ रही है?

मैं वास्तव में आपके उत्तर की सराहना करता हूँ!

localhostउस मशीन को संदर्भित करता है जिस पर वह चल रहा है। उदाहरण के लिए मेरी अपनी साइट tomjn.com पर लोकलहोस्ट है 127.0.0.1जैसा कि यह हमेशा होता है। इसका मतलब यह नहीं है कि हैकर को पता नहीं है कि कहां से कनेक्ट करना है, इसका मतलब हैकर के localhostसाथ बदल जाता है tomjn.com।

बेशक अगर मेरे सामने एक प्रॉक्सी बैठी है तो यह काम नहीं करेगा, लेकिन यह ध्यान रखें कि अगर हमलावर की पहुंच मेरी है wp-config.php, तो उसी एक्सेस से उन्हें उस मशीन पर अन्य काम करने होंगे।

तो अब हमलावर के पास आपके डेटाबेस का विवरण है, और वे पढ़ सकते हैं wp-config.php। उनके पास अब आपके डेटाबेस में सब कुछ तक पहुंच है, और आपके डेटाबेस में कुछ भी बदल सकता है।

आपके इंस्टॉल की सुरक्षा के आधार पर, वे स्वयं के लिए एक उपयोगकर्ता बना सकते हैं, लॉग इन कर सकते हैं, PHP शेल स्क्रिप्ट के साथ ज़िप के माध्यम से एक प्लगइन अपलोड कर सकते हैं, और कमांड जारी करना शुरू कर सकते हैं या साइट को बॉट नेट के हिस्से के रूप में उपयोग कर सकते हैं।

उनके पास आपके लवण और गुप्त कुंजी भी हैं (यदि आपके पास इनमें से कोई भी नहीं है, तो खराब खराब है), इसलिए अपने उपयोगकर्ताओं के पासवर्डों को मजबूर करना काफी आसान है। उनकी ईमेल तक पहुंच भी है।

यह कहना wp-config.phpकि सबसे खराब चीजों में से एक है जो हो सकता है। इसके साथ और भी कई चीजें की जा सकती हैं, लेकिन इसके परिणामस्वरूप होने वाले हर संभावित हमले को टाइप करने में महीनों लग जाएंगे।

आपके wp-config.phpद्वारा अधिग्रहित की गई घटना में , यह संभावना है कि एक स्वचालित हमले की स्क्रिप्ट ने ऐसा किया, न कि किसी वास्तविक व्यक्ति ने। अपने सभी विवरण बदलें, सभी पासवर्ड रीसेट करें, और छेद बंद करें।

आप केवल डेटाबेस के लिए उपयोग को स्वीकार करते हैं से localhost(इस परिभाषित के द्वारा प्राप्त नहीं किया गया है DB_HOSTके रूप में localhost)? अपने आप से बहुत अधिक नहीं (सबसे खराब स्थिति एक हमलावर के खाते को संभालने वाली होगी), लेकिन अन्य कमजोरियों के संयोजन में यह एक हमलावर के लिए आपके कॉन्फ़िगरेशन तक पहुंच के लिए सहायक हो सकता है।

लॉग इन प्रमाण - पत्र

लोग अपने उपयोगकर्ता नाम और पासवर्ड का पुन: उपयोग करते हैं। एक हमलावर जाँच करेगा कि क्या आपका डेटाबेस उपयोगकर्ता नाम और पासवर्ड (या उनमें से भिन्नता) आपके वर्डप्रेस इंस्टॉलेशन के लिए काम करता है, आपके होस्टर के लिए, आपके ईमेल के लिए, आदि।

बहुत कम से कम एक हमलावर को यह पता चलता है कि आप किस तरह के पासवर्ड का उपयोग करते हैं (पूरी तरह से यादृच्छिक, केवल लोअरकेस / संख्या, लंबाई, आदि)।

तालिका उपसर्ग

यदि कोई SQL इंजेक्शन संभव है, तो एक हमलावर को तालिका के नाम पता होना चाहिए। डेटाबेस के आधार पर, यह बहुत आसान हो सकता है, या इसमें अनुमान लगाना शामिल हो सकता है। यदि इसमें अनुमान लगाना शामिल है, तो तालिका का उपसर्ग करना सबसे अच्छा है।

कुंजी और साल्ट

मैंने इस लेख को यह सुझाव देते हुए पाया कि आप वास्तव में ये लीक नहीं करना चाहते हैं (मूल रूप से, कोई भी आपके व्यवस्थापक खाते को ले सकता है), हालांकि मुझे नहीं पता कि यह कैसे अप-टू-डेट है।

डेटाबेस चारसेट

कुछ SQL इंजेक्शन वर्ण सेट पर निर्भर करते हैं, इसलिए यह हमलावर के लिए यह जानना अच्छा है।

सारांश

यदि आप पासवर्ड का पुन: उपयोग नहीं करते हैं, तो आप डेटाबेस तक बाहरी पहुंच की अनुमति नहीं देते हैं, और यदि आपके पास कहीं भी कोई SQL इंजेक्शन नहीं है, तो मुख्य चिंता कुंजी और लवण की होगी।

मुझे लगता है कि आप रीड एक्सेस के बारे में पूछ रहे हैं, क्योंकि लेखन एक्सेस मूल रूप से अपनी साइट पर अपनी पसंद के अनुसार कुछ भी करने के लिए अपने कोड को इंजेक्ट करने के लिए है।

आपकी यह धारणा कि DB की जानकारी संवेदनशील नहीं है, गलत है। मान लें कि आपकी साइट को गोडैडी में होस्ट किया गया है। godaddy AFAIK एक समर्पित mysql सर्वर का उपयोग कर रहा है जिसे शायद केवल अपने स्वयं के सर्वर से ही एक्सेस किया जा सकता है, लेकिन अगर मुझे आपका विवरण पता है कि मेरे लिए एक Godaddy खाता बनाना और एक स्क्रिप्ट लिखना कितना कठिन है जो आपके DB तक पहुँचता है? स्थानीय डीबी के मामले में शोषण करना कठिन है, लेकिन साझा होस्टिंग सर्वर पर आपके साथ सर्वर साझा करने वाली 100 साइटें हो सकती हैं, क्या आप उन पर भरोसा करने के लिए पर्याप्त सुरक्षित हो सकते हैं कि श्री ईविल उन्हें तोड़ नहीं सकते हैं और अपनी साइट पर हमला करने के लिए उनका उपयोग कर सकते हैं?