wp-config.php에 기본 인증 키 값을 그대로 둔 경우 해커가 데이터베이스에 액세스할 수 있습니까?

wp-config.php에 기본 인증 키 값을 그대로 둔 경우 해커가 데이터베이스에 액세스할 수 있습니까?

바보같은 질문이죠? 아아, 확실한 답이 필요해요.

여기가 바로 그 자리입니다.

당사는 당사의 더 나은 판단과 조언에 반해 드림호스트를 프로바이더로 사용하는 고객을 위해 사이트를 구축했습니다.고객은 워드프레스의 드림호스트 원버튼 설치, 3.0을 사용한 것 같습니다.

사이트 작업을 서두를 때 wp-config의 인증 키와 솔트.php는 '당신의 고유한 문구를 여기에 넣으십시오' 등의 기본 문구로 남겨졌습니다.

WP 코덱스에 따르면 이러한 키는 사용자 쿠키에 보안을 추가하는 데 사용된다고 알고 있습니다.

하지만 한 달여 만에 사이트의 데이터베이스가 텅 비었습니다.information_schema가 아니라, 단지 전체 WP 테이블.또한 이상한 점은 해당 데이터베이스에 대한 DreamHost 백업이 모두 비어 있다는 것입니다.

고객이 전화를 걸어 확인해 보았지만 드림호스트를 호출할 수는 없습니다. 그런 다음 고객은 기본 인증 키를 찾아 피치포크/조명 횃불 등을 깎기 시작했습니다.

그래서 제 질문은 이것입니다. 기본 구문에 인증 키가 남아 있는 것을 알고 있다면 데이터베이스에 대한 접근이 가능합니까?

철저한 수색을 벌였지만, 명백하게 다르게 명시된 것은 아무것도 발견하지 못했습니다.

다시 한번 스택 오버플로에 감사드립니다. 불타는 화로를 막아주셔서요.

그들은 데이터베이스의 사용자와 비밀번호를 알아야 하며, 그 후에도 Wordpress config 기본 인증 문자열은 예에서와 같이 '당신의 고유한 문구를 여기에 입력하세요'와 같이 사람이 읽을 수 있는 것이 아니라(메모리에서 보면 위 줄에 주석이 달린 것처럼 보이는 것 같습니다), 실제로는 GUID일 것입니다.따라서, Wordpress가 모든 zip 패키지에 동일한 기본 GUID를 사용하지 않는 한, 그것이 범인이라고 추측하지는 않을 것입니다.

언급URL : https://stackoverflow.com/questions/5994076/can-a-hacker-gain-access-to-my-database-if-ive-left-the-default-authentication