Tin tặc có thể làm gì với wp-config.php của tôi


11

Tôi đang cố gắng để bảo mật blog wordpress của tôi. Tôi đọc một số bài đăng trên web rằng tôi nên thay đổi table_prefixvà ẩn của tôi wp-config.php. Tuy nhiên, tôi không nhận được nó? Kẻ tấn công có thể làm gì với tôi wp-config.php?

Ý tôi là có các cấu hình db của tôi, nhưng kẻ tấn công cần DB_HOSTví dụ của tôi , điều đó không dễ gì có được, để kết nối với db của tôi? (Trong trường hợp của tôi: define('DB_HOST', 'localhost');kẻ tấn công không thể sử dụng để kết nối với db của tôi )

Hay tôi bị mất sth?

Tôi thực sự đánh giá cao trả lời của bạn!


Tôi đoán, anh ta sẽ dễ dàng tiêm SQL. Được gắn sao. Chờ đợi các chuyên gia trả lời điều này.
Robert hue

Bạn cũng có thể đăng nó lên Lập trình Câu đố & Code Golf beta và xem mọi người nghĩ gì. :)
Joshua Taylor

1
@JoshuaTaylor Xin vui lòng không. Bên cạnh các vấn đề đạo đức rõ ràng, đó không phải là trang web của chúng tôi nói về điều gì: Chúng tôi chỉ thích những câu hỏi có thể có tiêu chí chiến thắng khách quan để quyết định giải pháp nào thắng, không chỉ là "Này, hãy viết mã và vui vẻ! Yaaaay!"
Doorknob

@Doorknob Chà, rõ ràng đây là một cuộc thi nổi tiếng. Nhưng một cách nghiêm túc, tôi đã hy vọng rằng ":)" sẽ truyền đạt rằng tôi không nghiêm túc. Nếu ai đó đã cố gắng đăng các tập tin wp-config của họ, xin vui lòng chấp nhận lời xin lỗi của tôi.
Joshua Taylor

Câu trả lời:


9

localhostđề cập đến máy nó đang chạy. Ví dụ trên trang web riêng của tôi tomjn.com localhost vẫn 127.0.0.1như mọi khi. Điều này không có nghĩa là các hacker không biết được nơi để kết nối, nó có nghĩa này thay thế của hacker localhostvới tomjn.com.

Tất nhiên nếu tôi có proxy ở phía trước thì điều này sẽ không hoạt động, nhưng hãy nhớ rằng nếu kẻ tấn công có quyền truy cập vào tôi wp-config.php, thì quyền truy cập đó sẽ cho phép họ làm những việc khác trên máy đó.

Vì vậy, bây giờ kẻ tấn công có chi tiết cơ sở dữ liệu của bạn, và họ có thể đọc wp-config.php. Bây giờ họ có quyền truy cập vào mọi thứ trong cơ sở dữ liệu của bạn và có thể thay đổi mọi thứ trong cơ sở dữ liệu của bạn.

Tùy thuộc vào bảo mật cài đặt của bạn, họ có thể tự tạo người dùng, đăng nhập, tải lên plugin qua zip bằng tập lệnh PHP Shell và bắt đầu phát lệnh hoặc sử dụng trang web như một phần của mạng bot.

Họ cũng có muối và khóa bí mật của bạn (nếu bạn không có bất kỳ thứ nào trong số này, xấu tệ), vì vậy, việc ép buộc mật khẩu người dùng của bạn trở nên dễ dàng hơn đáng kể. Họ cũng có quyền truy cập vào email của họ.

Đủ để nói nhận được wp-config.phplà một trong những điều tồi tệ nhất có thể xảy ra. Nhiều thứ khác có thể được thực hiện với nó nhưng sẽ mất vài tháng để loại bỏ mọi cuộc tấn công có thể xảy ra do việc này.

Trong trường hợp bạn wp-config.phpcó được, có khả năng một kịch bản tấn công tự động đã làm điều đó chứ không phải một người thực sự. Thay đổi tất cả các chi tiết của bạn, đặt lại tất cả mật khẩu và đóng lỗ hổng.


2
Điều này không có nghĩa là các hacker không biết được nơi để kết nối, nó có nghĩa này thay thế của hacker localhostvới tomjn.com. > Giả sử bạn có cổng vào cơ sở dữ liệu có thể truy cập được ra thế giới bên ngoài. Bạn sẽ không an toàn nếu bạn đóng cổng trong các quy tắc tường lửa, chỉ cho phép các máy tính trên mạng cục bộ (bao gồm cả máy tính chạy wordpress) kết nối với cơ sở dữ liệu?
IQAndreas

1
Nó vẫn sẽ là vị trí chính xác, nhưng vâng, các cổng có liên quan, tôi chủ yếu nhắm vào ghi chú ban đầu trong câu hỏi
Tom J Nowell

2

Nếu bạn chỉ chấp nhận quyền truy cập vào cơ sở dữ liệu từ localhost(điều này không đạt được bằng cách xác định DB_HOSTlocalhost)? Bản thân nó không quá nhiều (trường hợp xấu nhất sẽ là kẻ tấn công chiếm đoạt tài khoản quản trị viên), nhưng kết hợp với các lỗ hổng khác, có thể hữu ích cho kẻ tấn công có quyền truy cập vào cấu hình của bạn.

Thông tin đăng nhập

Mọi người sử dụng lại tên người dùng và mật khẩu của họ. Kẻ tấn công sẽ kiểm tra xem tên người dùng và mật khẩu cơ sở dữ liệu của bạn (hoặc các biến thể của chúng) có hoạt động cho cài đặt wordpress của bạn, cho hoster của bạn, cho email của bạn, v.v.

Ít nhất một kẻ tấn công có ý tưởng về loại mật khẩu bạn sử dụng (hoàn toàn ngẫu nhiên, chỉ chữ thường / số, độ dài, v.v.).

bảng Prefix

Nếu có khả năng tiêm SQL, kẻ tấn công phải biết tên bảng. Tùy thuộc vào cơ sở dữ liệu, điều này có thể rất dễ dàng hoặc có thể liên quan đến việc đoán. Nếu nó liên quan đến việc đoán, tốt nhất là có tiền tố bảng.

Chìa khóa và muối

Tôi thấy bài viết này gợi ý rằng bạn thực sự không muốn những thứ này bị rò rỉ (về cơ bản, bất kỳ ai cũng có thể chiếm đoạt tài khoản quản trị của bạn), mặc dù tôi không biết nó cập nhật như thế nào.

Bộ ký tự cơ sở dữ liệu

Một số phép tiêm SQL phụ thuộc vào bộ ký tự, vì vậy thật tốt cho kẻ tấn công biết điều này.

Tóm lược

Nếu bạn không cho phép truy cập bên ngoài vào cơ sở dữ liệu, nếu bạn không sử dụng lại mật khẩu và nếu bạn không có bất kỳ lệnh SQL nào ở bất cứ đâu, mối lo ngại chính sẽ là chìa khóa và muối.


Bài viết đó được cập nhật đủ. Bạn không muốn muối và chìa khóa của bạn bị rò rỉ. Đó là những thông tin riêng tư. Nếu bạn thậm chí nghi ngờ chúng đã được cung cấp, thì ngay lập tức thay đổi chúng thành một số dữ liệu ngẫu nhiên khác. Không có nhược điểm thực sự để thay đổi chúng, nó sẽ đơn giản đăng xuất bạn ra khỏi trang web và bạn phải đăng nhập lại. Bạn có thể nhận được một bộ khóa và muối ngẫu nhiên mới từ đây: api.wordpress.org/secret-key/1.1/salt
Otto

1

Tôi giả sử bạn đang hỏi về quyền truy cập đọc, vì quyền truy cập ghi về cơ bản là quyền truy cập để tiêm mã riêng của anh ấy để làm bất cứ điều gì anh ấy thích với trang web của bạn.

Giả định của bạn rằng thông tin DB không nhạy cảm là sai. Giả sử trang web của bạn được lưu trữ tại godaddy. godaddy AFAIK đang sử dụng một máy chủ mysql chuyên dụng có lẽ chỉ có thể được truy cập từ máy chủ của họ, nhưng nếu tôi biết chi tiết của bạn thì việc tạo tài khoản godaddy và viết một tập lệnh truy cập DB của bạn khó đến mức nào? Trong trường hợp DB cục bộ khó khai thác hơn nhưng trên các máy chủ lưu trữ được chia sẻ, bạn có thể có 100 trang web chia sẻ máy chủ với mình, bạn có thể tin tưởng chúng được bảo mật đủ để Mr Evil không thể xâm nhập vào chúng và sử dụng chúng để tấn công trang web của bạn không?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.