我使用 wordpress 和其他 CMS,所有这些 CMS 的配置文件中都有纯文本密码,例如在 wp-config.php 中
我想知道这是管理员保护安全的正常方式吗?
我意识到可以将 wp-config 移出根 Web 目录,但是如果服务器本身受到威胁,就有可能找到 wp-config 文件和里面的密码,然后系统就会受到威胁。
有没有办法加密系统上的所有密码,以便在 Web 应用程序配置文件中使用加密密码而不仅仅是纯文本?有没有一种合理的方法可以让纯文本密码远离服务器?
PS 我使用 linux vps ubuntu 服务器
干杯!
答案1
我从来没有看到过或听说过 wp-config.php 中的密码被加密。
我觉得你应该看看这个保护 wp-config.php指南。而不是加密来自WP-配置,您可以在其他方法但是几乎不可能从远程查看 php 文件,您应该可以访问 ftp 来执行此操作。
答案2
有没有办法加密系统上的所有密码,以便在 Web 应用程序配置文件中使用加密密码而不仅仅是纯文本?
也许吧。但是那有什么意义呢?Web 应用程序需要一种方法来解密它 - 如果它能做到这一点,就没有什么可以阻止 $RANDOM_CRACKER 做同样的事情了。
...正如 Phoshi 在评论中所说,如果 $RANDOM_CRACKER 获得了对您的配置文件的访问权,那么您就会遇到更大的问题。