WordPress 黑客可以用我的 wp-config.php 做什么？

问题描述

我正在努力保护我的 wordpress 博客。我在网上阅读了一些帖子，我应该更改我的 table_prefix 并隐藏我的 wp-config.php 。但是，我不明白攻击者可以用 wp-config.php 做什么？

我的意思是有我的数据库配置，但攻击者需要我的 DB_HOST，这是不是很容易得到，为了连接到我的数据库？(在我的情况下，它是：define('DB_HOST', 'localhost');，攻击者无法使用它连接到我的数据库)

还是我错过了？

我非常感谢你的回复！

最佳解决方案

localhost 是指运行的机器。例如在我自己的网站上 tomjn.com localhost 是 127.0.0.1，因为它一直是。这并不意味着黑客不知道连接在哪里，这意味着黑客将 localhost 替换为 tomjn.com 。

当然，如果我有一个代理人坐在前面，这将无法工作，但请记住，如果攻击者可以访问我的 wp-config.php，同样的访问将让他们在该机器上做其他的事情。

所以现在攻击者有你的数据库细节，他们可以读取 wp-config.php 。他们现在可以访问数据库中的所有内容，并且可以更改数据库中的任何内容。

根据安装的安全性，他们可以为自己创建一个用户，登录，使用 PHP Shell 脚本通过 zip 上传插件，然后开始发出命令，或者使用站点作为机器人网络的一部分。

他们也有你的盐和秘密钥匙 (如果你没有这些，糟糕的坏坏)，所以暴力强迫你的用户密码变得更加容易。他们也可以访问他们的电子邮件。

只要说 wp-config.php 是可能发生的最糟糕的事情之一。可以做更多的事情可以做，但是需要几个月的时间才能输出由此产生的每一个可能的攻击。

在您收到 wp-config.php 的情况下，自动攻击脚本很可能不是实际的人员。更改所有详细信息，重置所有密码，并关闭孔。

参考文献

• What could a hacker do with my wp-config.php

注：本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意，可以加入我们改善翻译效果：薇晓朵技术论坛。