Intereting Posts
Как я могу отображать части пользовательских сообщений? Сляки, разделенные в ACF Отображать и скрывать контент, используя флажок в разделе «Параметры Framework» Таксономия на странице индекса Как сделать копию локальной сборки WordPress в MAMP? Отображать атрибуты продукта для текущего продукта Создание пользовательских ссылок для выдержек с php динамически Как использовать json_decode значение post_meta? Когда использовать Исключения против Объектов Ошибок против простого ложного / нулевого Ограничение количества страниц, которые пользователи могут создавать в пользовательских типах сообщений Невозможно вставить видеоролики YouTube «Не удалось внедрить» WordPress неожиданно изменил все ссылки на example.com/example.com/ <Content> как отображать сообщение на главном экране без изображений как я могу изменить post-> ID для правильной работы при запросе страниц? wp_localize_script с mce_external_plugins в wordpress

Как правильно обновить пароль базы данных WordPress?

Сайт, который я управляю, был недавно скомпрометирован, и я перехожу к шагам, чтобы закрепить и переустановить сайт. Я хотел бы изменить пароль базы данных MySql и хочу, чтобы я не забирал сайт (более минуты).

Я также обеспокоен тем, что если я вручную изменил пароль БД непосредственно в файле wp-config.php , он будет виден и не зашифрован. Например, если мой первоначальный пароль при установке был « пожалуйста », он будет отображаться в файле wp-config.php как « aDQps4txy ».

Итак, что лучше всего подходит для обновления пароля базы данных?

Заранее спасибо.

Solutions Collecting From Web of "Как правильно обновить пароль базы данных WordPress?"

Это технически сложно. WordPress должен иметь доступ к вашему паролю БД в виде простого текста. Доступ к содержимому wp-config.php уже нарушает безопасность.

Существуют альтернативные подходы к настройке, такие как загрузка учетных данных с помощью переменных среды, но на практике они используются чрезвычайно редко, потому что файл конфигурации PHP уже является разумным решением.

Непонятно, почему вы предполагаете, что кто-то получит доступ к конфигу. Как низко висящие фрукты вы можете разместить его за пределами доступного в Интернете каталога. WordPress будет сканировать для настройки одного уровня каталога над собой. Для установки подкаталога вы можете использовать require для загрузки содержимого конфигурации из другого места, но даже это редко делается.

Ваш фактический пароль БД хранится незашифрованным в wp-config.php , т. wp-config.php Если ваш пароль является foobar , соответствующая строка в wp-config.php :

 /** MySQL database password */ define('DB_PASSWORD', 'foobar'); 

Как заметил @Rarst:

Доступ к содержимому wp-config.php уже нарушает безопасность.

Это связано с тем, что PHP является препроцессором гипертекста. Любой, кто обращается к wp-config.php через свой веб-браузер, будет перенаправлен файлом через PHP-интерпретатор на стороне сервера . Интерпретатор передает только те данные на клиенте (веб-браузер), которые ему были даны для вывода. Пароль БД не выводится PHP. Когда я получаю доступ к моему wp-config.php через мой браузер, я получаю пустую страницу без исходного кода, потому что этот файл вообще ничего не выводит.

Однако неверно, что наличие незашифрованного пароля БД полностью без риска. Любой, кто получит возможность обойти PHP-интерпретатор и, следовательно, прочитать источник файла, получит доступ к вашему паролю. Это то, что имел в виду и @ Rarst. Чтобы быть ясным, это может быть также человек в середине, который подслушивает ваше незашифрованное FTP-соединение . В тот момент, когда вы загружаете wp-config.php через небезопасное FTP-соединение (в отличие от зашифрованного SFTP-соединения), чтобы отредактировать его и повторно загрузить его снова на ваш сервер, существует вероятность, что ваш пароль будет проверяться.

Самый простой способ предотвратить большинство атак – сохранить ваш сервер в актуальном состоянии с помощью обновлений безопасности и обеспечить всегда использование защищенных протоколов (HTTP / FTP через TLS = HTTPS / FTPS вместо HTTP / FTP, альтернативно SFTP и SSH вместо этого Telnet) при работе с конфиденциальными данными, то есть при исполнении функций администратора.

Подробнее читайте на странице https://codex.wordpress.org/Hardening_WordPress .