WordPress 駭客可以用我的 wp-config.php 做什麼？

問題描述

我正在努力保護我的 wordpress 部落格。我在網上閱讀了一些帖子，我應該更改我的 table_prefix 並隱藏我的 wp-config.php 。但是，我不明白攻擊者可以用 wp-config.php 做什麼？

我的意思是有我的資料庫配置，但攻擊者需要我的 DB_HOST，這是不是很容易得到，為了連線到我的資料庫？(在我的情況下，它是：define('DB_HOST', 'localhost');，攻擊者無法使用它連線到我的資料庫)

還是我錯過了？

我非常感謝你的回覆！

最佳解決方案

localhost 是指執行的機器。例如在我自己的網站上 tomjn.com localhost 是 127.0.0.1，因為它一直是。這並不意味著駭客不知道連線在哪裡，這意味著駭客將 localhost 替換為 tomjn.com 。

當然，如果我有一個代理人坐在前面，這將無法工作，但請記住，如果攻擊者可以訪問我的 wp-config.php，同樣的訪問將讓他們在該機器上做其他的事情。

所以現在攻擊者有你的資料庫細節，他們可以讀取 wp-config.php 。他們現在可以訪問資料庫中的所有內容，並且可以更改資料庫中的任何內容。

根據安裝的安全性，他們可以為自己建立一個使用者，登入，使用 PHP Shell 指令碼透過 zip 上傳外掛，然後開始發出命令，或者使用站點作為機器人網路的一部分。

他們也有你的鹽和秘金鑰匙 (如果你沒有這些，糟糕的壞壞)，所以暴力強迫你的使用者密碼變得更加容易。他們也可以訪問他們的電子郵件。

只要說 wp-config.php 是可能發生的最糟糕的事情之一。可以做更多的事情可以做，但是需要幾個月的時間才能輸出由此產生的每一個可能的攻擊。

在您收到 wp-config.php 的情況下，自動攻擊指令碼很可能不是實際的人員。更改所有詳細資訊，重置所有密碼，並關閉孔。

參考文獻

• What could a hacker do with my wp-config.php

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。