我想知道为什么数据库密码和登录数据以纯文本形式存储在wp-config.php文件中。这不是一个安全问题,是解决它的好习惯吗?我不是安全方面的专业人士,但我学到的是,第一个安全步骤是将密码存储为纯文本。其次,使用另一个文件来存储密码。我知道最新的安全使用散列,包括对密码进行加盐。或者是否安装了其他我不知道的安全措施?
2 回答
尚方宝剑之说
TA贡献1788条经验 获得超4个赞
如果您的用户可以阅读您的内容,wp-config.php那么从安全角度来看,您已经失败了。
假设数据库凭据不是以纯文本形式存储的,而是作为加密字符串存储的,该字符串将由 Wordpress 本身解密。如果潜在的攻击者可以读取wp-config.php他们可能会读取解密密钥,并且没有理由怀疑它会更安全地存储。
当人们谈论最新的安全机制如何使用仅与您是有效服务器时相关的散列和加盐时。散列是一种获取密码并将其转换为无法恢复为密码的东西的单向过程。如果您是客户端而不是服务器,则无法避免您需要一种获取纯文本密码的方法这一事实。
开心每一天1111
TA贡献1836条经验 获得超13个赞
当我们说始终正确散列用户密码时,这意味着当您将它们存储在数据库中时。当您连接到数据库时,您需要提供密码(不是哈希),因此密码存储在此文件中。
因为它是一个 PHP 文件,如果用户试图通过我们的服务器打开这个文件,它不会工作,因为它们只是 PHP 常量。它们不会打印到屏幕上。
您可以通过使数据库服务器仅接受来自您的服务器(通常是本地主机)的连接来确定安全性。某些服务器设置在环境变量中设置数据库凭据。这不会使事情变得更安全,但它可以使您的 wp-config 文件保持干净
- 2 回答
- 0 关注
- 164 浏览
添加回答
举报
0/150
提交
取消