1

Я использую WordPress и другие CMS, и все они имеют пароли в виде простого текста в своих файлах конфигурации, например, в wp-config.php

Интересно, это нормальный способ защиты безопасности администратором?

Я понимаю, что можно переместить wp-config за пределы корневого веб-каталога, но, тем не менее, если сам сервер скомпрометирован, возможно найти файл wp-config и пароль внутри, тогда система компрометируется.

Есть ли способ зашифровать все пароли в системе, чтобы в конфигурационных файлах веб-приложений использовался зашифрованный проход, а не просто текст? Есть ли разумный способ сохранить незашифрованные пароли вне сервера?

PS я использую Linux VPS Ubuntu серверов

Приветствия Ke

2 ответа2

2

Я никогда не видел и не слышал о шифровании пароля в wp-config.php.

Я думаю, вы должны взглянуть на это руководство по безопасности wp-config.php . Вместо шифрования пароля из WP-Config вы можете защитить профиль другими способами, однако просмотреть файлы php с удаленного компьютера практически невозможно, для этого вам необходим доступ к ftp.

1

Есть ли способ зашифровать все пароли в системе, чтобы в конфигурационных файлах веб-приложений использовался зашифрованный проход, а не просто текст?

Может быть. Но какой в этом смысл? Веб-приложение нуждается в способе его расшифровки - и если оно может это сделать, ничто не мешает $ RANDOM_CRACKER делать то же самое.

... как сказал Phoshi в комментарии, если $ RANDOM_CRACKER получит доступ к вашему файлу конфигурации, у вас все равно будут большие проблемы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .