WordPress 黑客可以用我的 wp-config.php 做什麼？

問題描述

我正在努力保護我的 wordpress 博客。我在網上閲讀了一些帖子，我應該更改我的 table_prefix 並隱藏我的 wp-config.php 。但是，我不明白攻擊者可以用 wp-config.php 做什麼？

我的意思是有我的數據庫配置，但攻擊者需要我的 DB_HOST，這是不是很容易得到，為了連接到我的數據庫？(在我的情況下，它是：define('DB_HOST', 'localhost');，攻擊者無法使用它連接到我的數據庫)

還是我錯過了？

我非常感謝你的回覆！

最佳解決方案

localhost 是指運行的機器。例如在我自己的網站上 tomjn.com localhost 是 127.0.0.1，因為它一直是。這並不意味着黑客不知道連接在哪裏，這意味着黑客將 localhost 替換為 tomjn.com 。

當然，如果我有一個代理人坐在前面，這將無法工作，但請記住，如果攻擊者可以訪問我的 wp-config.php，同樣的訪問將讓他們在該機器上做其他的事情。

所以現在攻擊者有你的數據庫細節，他們可以讀取 wp-config.php 。他們現在可以訪問數據庫中的所有內容，並且可以更改數據庫中的任何內容。

根據安裝的安全性，他們可以為自己創建一個用户，登錄，使用 PHP Shell 腳本通過 zip 上傳插件，然後開始發出命令，或者使用站點作為機器人網絡的一部分。

他們也有你的鹽和秘密鑰匙 (如果你沒有這些，糟糕的壞壞)，所以暴力強迫你的用户密碼變得更加容易。他們也可以訪問他們的電子郵件。

只要説 wp-config.php 是可能發生的最糟糕的事情之一。可以做更多的事情可以做，但是需要幾個月的時間才能輸出由此產生的每一個可能的攻擊。

在您收到 wp-config.php 的情況下，自動攻擊腳本很可能不是實際的人員。更改所有詳細信息，重置所有密碼，並關閉孔。

參考文獻

• What could a hacker do with my wp-config.php

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。