Я использую WordPress и другие CMS, и все они имеют пароли в виде простого текста в своих файлах конфигурации, например, в wp-config.php
Интересно, это нормальный способ защиты прав администратора?
Я понимаю, что можно переместить wp-config за пределы корневого веб-каталога, но, тем не менее, если сам сервер скомпрометирован, возможно найти файл wp-config и пароль внутри, тогда система компрометируется.
Есть ли способ зашифровать все пароли в системе, чтобы в файлах конфигурации веб-приложений использовался зашифрованный проход, а не просто текст? Есть ли разумный способ сохранить незашифрованные пароли вне сервера?
PS я использую Linux VPS Ubuntu серверов
Приветствия Ke
Ответы:
Я никогда не видел и не слышал о шифровании пароля в wp-config.php.
Я думаю, вы должны взглянуть на это руководство по безопасности wp-config.php . Вместо шифрования пароля из WP-Config вы можете защитить профиль другими способами, однако просмотреть файлы php с удаленного компьютера практически невозможно, для этого вам необходим доступ к ftp.
источник
Может быть. Но какой в этом смысл? Веб-приложение нуждается в способе его расшифровки - и если оно может это сделать, ничто не мешает $ RANDOM_CRACKER сделать то же самое.
... как сказал Phoshi в комментарии, если $ RANDOM_CRACKER получит доступ к вашему файлу конфигурации, у вас все равно будут большие проблемы.
источник