Intereting Posts
wp_query: неявный пейджинг? Я получаю меньше сообщений, которые я должен Отображать различные смайлики при вводе «:)» Есть ли какие-либо требования к серверу для переходных процессов WordPress для правильной работы? Статическая переменная и add_rewrite_rule? Не удается обновить поле user_name_name Проблема преобразования тегов в категории при наличии большого количества тегов WordPress добавляет поля и дополнения в мое меню? Входное значение из метаболизма не найдено в $ _POST после сохранения сообщения Как предотвратить прямой доступ к моей пользовательской папке / файлам плагина Заголовок блога не отображается на главной странице блога WordPress не отображает темы в папке wp-content / themes Дублировать запрос, построенный с помощью PHP и Mysql, но теперь в WordPress Как настроить шаблон категории? Получить вложение из сообщения Как отключить все учетные записи на клиентской стороне без отключения новых учетных записей пользователей?

Как правильно обновить пароль базы данных WordPress?

Сайт, который я управляю, был недавно скомпрометирован, и я перехожу к шагам, чтобы закрепить и переустановить сайт. Я хотел бы изменить пароль базы данных MySql и хочу, чтобы я не забирал сайт (более минуты).

Я также обеспокоен тем, что если я вручную изменил пароль БД непосредственно в файле wp-config.php , он будет виден и не зашифрован. Например, если мой первоначальный пароль при установке был « пожалуйста », он будет отображаться в файле wp-config.php как « aDQps4txy ».

Итак, что лучше всего подходит для обновления пароля базы данных?

Заранее спасибо.

Solutions Collecting From Web of "Как правильно обновить пароль базы данных WordPress?"

Это технически сложно. WordPress должен иметь доступ к вашему паролю БД в виде простого текста. Доступ к содержимому wp-config.php уже нарушает безопасность.

Существуют альтернативные подходы к настройке, такие как загрузка учетных данных с помощью переменных среды, но на практике они используются чрезвычайно редко, потому что файл конфигурации PHP уже является разумным решением.

Непонятно, почему вы предполагаете, что кто-то получит доступ к конфигу. Как низко висящие фрукты вы можете разместить его за пределами доступного в Интернете каталога. WordPress будет сканировать для настройки одного уровня каталога над собой. Для установки подкаталога вы можете использовать require для загрузки содержимого конфигурации из другого места, но даже это редко делается.

Ваш фактический пароль БД хранится незашифрованным в wp-config.php , т. wp-config.php Если ваш пароль является foobar , соответствующая строка в wp-config.php :

 /** MySQL database password */ define('DB_PASSWORD', 'foobar'); 

Как заметил @Rarst:

Доступ к содержимому wp-config.php уже нарушает безопасность.

Это связано с тем, что PHP является препроцессором гипертекста. Любой, кто обращается к wp-config.php через свой веб-браузер, будет перенаправлен файлом через PHP-интерпретатор на стороне сервера . Интерпретатор передает только те данные на клиенте (веб-браузер), которые ему были даны для вывода. Пароль БД не выводится PHP. Когда я получаю доступ к моему wp-config.php через мой браузер, я получаю пустую страницу без исходного кода, потому что этот файл вообще ничего не выводит.

Однако неверно, что наличие незашифрованного пароля БД полностью без риска. Любой, кто получит возможность обойти PHP-интерпретатор и, следовательно, прочитать источник файла, получит доступ к вашему паролю. Это то, что имел в виду и @ Rarst. Чтобы быть ясным, это может быть также человек в середине, который подслушивает ваше незашифрованное FTP-соединение . В тот момент, когда вы загружаете wp-config.php через небезопасное FTP-соединение (в отличие от зашифрованного SFTP-соединения), чтобы отредактировать его и повторно загрузить его снова на ваш сервер, существует вероятность, что ваш пароль будет проверяться.

Самый простой способ предотвратить большинство атак – сохранить ваш сервер в актуальном состоянии с помощью обновлений безопасности и обеспечить всегда использование защищенных протоколов (HTTP / FTP через TLS = HTTPS / FTPS вместо HTTP / FTP, альтернативно SFTP и SSH вместо этого Telnet) при работе с конфиденциальными данными, то есть при исполнении функций администратора.

Подробнее читайте на странице https://codex.wordpress.org/Hardening_WordPress .