Używam wordpress i innych CMS-ów, a wszystkie one mają hasła tekstowe w swoich plikach konfiguracyjnych np. W wp-config.php
Zastanawiam się, czy to normalny sposób, w jaki administrator chroniłby bezpieczeństwo?
Zdaję sobie sprawę, że możliwe jest przeniesienie wp-config poza główny katalog WWW, ale mimo to, jeśli sam serwer jest zagrożony, możliwe jest znalezienie pliku wp-config i hasła w środku, wtedy system jest skompromitowany.
Czy istnieje sposób na zaszyfrowanie wszystkich haseł w systemie, aby w plikach konfiguracyjnych aplikacji internetowych wykorzystano zaszyfrowane hasło, a nie tylko zwykły tekst? Czy istnieje rozsądny sposób na trzymanie haseł zwykłego tekstu poza serwerem?
PS Używam Linux Ubuntu serwerów Linux VPS
Pozdrawiam Ke
Odpowiedzi:
Nigdy nie widziałem ani nie słyszałem o szyfrowaniu hasła wp-config.php.
Myślę, że powinieneś rzucić okiem na ten przewodnik Zabezpieczanie wp-config.php . Zamiast szyfrować hasło z WP-Config , możesz zabezpieczyć profil na inne sposoby, jednak prawie niemożliwe jest przeglądanie plików php ze zdalnego, powinieneś mieć dostęp do ftp, aby to zrobić.
źródło
Może. Ale jaki jest tego sens? Aplikacja internetowa potrzebuje sposobu na jej odszyfrowanie - a jeśli to zrobi, nic nie powstrzyma $ RANDOM_CRACKER przed zrobieniem tego samego.
... jak powiedział Phoshi w komentarzu, jeśli $ RANDOM_CRACKER uzyska dostęp do pliku konfiguracyjnego, i tak masz większe problemy.
źródło