我的网站日志文件显示许多请求在寻找:
/phpmyadmin/scripts/setup.php
我的网站上有 phpmyadmin。我是否应该删除该setup.php
文件,还是让他们继续请求它?
答案1
简短回答:是的,删除它。同时删除整个setup
目录。
长答案:过去,phpmyadmin 存在许多代码注入漏洞setup.php
。由于该文件仅用于初始设置目的,并不打算在安装后使用,因此删除它不会有任何损失,反而可能有很多好处。
此外,phpmyadmin 的安装说明建议在安装后删除整个setup
目录。在以下网址找到的建议之一:http://docs.phpmyadmin.net/en/latest/setup.html#securing-your-phpmyadmin-installation内容如下:
从 phpMyAdmin 中删除安装目录,初始设置后您可能不会使用它。
所以,是的,删除setup.php
和删除整个setup
目录。
答案2
步骤保护你的 phpMyAdmin 安装在 phpMyAdmin 的文档中进行了介绍。其中包括删除整个安装目录安装后。
您还可以通过以下方式提高安全性
- 禁止使用有权访问多个数据库的用户帐户登录,例如 root
- 使用非默认路径,除 /phpmyadmin 之外的其他路径
- 不是在每个域上发布 /phpmyadmin,而是在单个 vhost 上发布https://tools.example.com/
通常,在这种情况下,您可以始终为 Apache vhost 创建基于目录的限制。这样,您就不需要删除您不确定是否可以删除的文件。这还可以防止这些文件在更新时再次出现。如果您需要更全面的保护措施来防止自动漏洞扫描,您可以使用Fail2ban。