Que pourrait faire un pirate informatique avec mon wp-config.php

11

J'essaie de sécuriser mon blog wordpress. J'ai lu sur certains articles du Web que je devrais changer de table_prefix et cacher mon wp-config.php . Cependant, je ne comprends pas? Que pourrait faire un attaquant avec mon wp-config.php ?

Je veux dire, il y a mes configurations de base de données, mais l'attaquant a besoin de mon DB_HOST par exemple, ce qui n'est pas si facile à obtenir attaquant ne pouvait pas utiliser pour se connecter à ma base de données)

Ou est-ce que je manque quelque chose?

J'apprécie vraiment votre réponse!

    
posée Kare 03.09.2014 - 12:53

3 réponses

9

localhost fait référence à la machine sur laquelle il tourne. Par exemple, sur mon propre site, tomjn.com localhost est 127.0.0.1 comme toujours. Cela ne signifie pas que le pirate informatique ne sait pas où se connecter, cela signifie que le pirate informatique remplace localhost par tomjn.com .

Bien sûr, si j'ai un proxy assis devant, cela ne fonctionnera pas, mais gardez à l'esprit que si l'attaquant a accès à mon wp-config.php , ce même accès le laisserait faire autre chose sur cette machine.

L’attaquant a donc maintenant les détails de votre base de données et il peut lire wp-config.php . Ils ont maintenant accès à tout ce qui se trouve dans votre base de données et peuvent tout modifier.

En fonction de la sécurité de votre installation, ils peuvent créer un utilisateur pour eux-mêmes, se connecter, télécharger un plugin via zip avec un script PHP Shell et commencer à émettre des commandes ou utiliser le site dans le cadre d’un réseau de robots.

Ils ont aussi vos sels et vos clés secrètes (si vous n’en avez pas, bad bad bad), donc forcer brutalement les mots de passe de vos utilisateurs devient beaucoup plus facile. Ils ont également accès à leurs courriels.

Il suffit de dire que wp-config.php est l’une des pires choses qui pourraient arriver. Beaucoup plus de choses peuvent être faites avec cela, mais cela prendrait des mois pour dactylographier toutes les attaques possibles qui en résulteraient.

Si votre wp-config.php est acquis, il est probable qu'un script d'attaque automatique l'ait fait, et non une personne réelle. Modifiez toutes vos informations, réinitialisez tous les mots de passe et fermez le trou.

    
réponse donnée Tom J Nowell 03.09.2014 - 15:21
2

Si vous acceptez uniquement l'accès à la base de données à partir de localhost (vous ne pouvez pas y parvenir en définissant DB_HOST comme localhost )? Pas trop en soi (le pire des cas serait un attaquant prenant le compte administrateur), mais en combinaison avec d’autres vulnérabilités, il pourrait être utile qu’un attaquant ait accès à votre configuration.

Informations d'identification de connexion

Les gens réutilisent leurs noms d'utilisateur et mots de passe. Un attaquant vérifiera si vos nom d'utilisateur et mot de passe de base de données (ou leurs variantes) fonctionnent pour votre installation de wordpress, pour votre hébergeur, pour votre email, etc.

Au minimum, un attaquant a une idée du type de mot de passe que vous utilisez (totalement aléatoire, uniquement des minuscules / nombres, longueur, etc.).

Préfixe de table

Si une injection SQL est possible, un attaquant doit connaître les noms des tables. En fonction de la base de données, cela peut être très facile ou impliquer des devinettes. Si cela implique de deviner, il est préférable d’avoir le préfixe de table.

Clés et sels

J'ai trouvé cet article suggérant que vous avez vraiment ne voulez pas que ces informations soient divulguées (en principe, n'importe qui pourrait s'approprier votre compte d'administrateur), bien que je ne sache pas à quel point il est à jour.

Jeu de caractères de la base de données

Certaines injections SQL dépendent du jeu de caractères. Il est donc bon qu'un attaquant sache cela.

Résumé

Si vous n'autorisez pas l'accès externe à la base de données, si vous ne réutilisez pas les mots de passe et si vous ne recevez aucune injection SQL, l'inquiétude principale serait la clé et les sels.

    
réponse donnée tim 03.09.2014 - 20:00
1

Je suppose que vous vous interrogez sur l'accès en lecture, car l'accès en écriture est essentiellement un accès permettant d'injecter son propre code pour faire tout ce qu'il veut avec votre site.

Votre hypothèse selon laquelle les informations de base de données ne sont pas sensibles est fausse. Supposons que votre site est hébergé chez GoDaddy. Goaddy AFAIK utilise des serveurs mysql dédiés auxquels on ne peut probablement accéder que depuis leurs propres serveurs, mais si je connais vos coordonnées, est-il difficile de créer un compte GoDaddy et d'écrire un script qui accède à votre base de données? Dans le cas de bases de données locales, il est plus difficile à exploiter, mais sur des serveurs d'hébergement partagés, vous pourriez avoir 100 sites partageant le serveur avec vous. Pouvez-vous vous assurer qu'ils sont suffisamment sécurisés pour que M. Evil ne puisse pas y pénétrer et les utiliser pour attaquer votre site?

    
réponse donnée Mark Kaplun 03.09.2014 - 21:00

Lire d'autres questions sur les étiquettes