web-dev-qa-db-ja.com

ハッカーがすべてのphpファイルを調べた場合、彼は私に害を及ぼすことができますか?

たとえば、私はすべてのFTPコンテンツ(ワードプレスのインストールのphpファイル)のバックアップを持っていた、そしてハッカーはそのバックアップファイルを得て、(config.phpなどを含む)すべてのPHPファイルを調べた...彼はどうにか私のワードプレスサイトにアクセスできますか?
リモートデータベースが無効です。

1
T.Todua

はいといいえ。あなたのプロプライエタリなコードが見つけやすい巨大なエクスプロイトを持っていない限り、コード自体はほとんど意味がありません。独自のものではないもの - テーマ、プラグイン、ワードプレスのコア、ハッカーはすでにあなたのバックアップを調べることによって、それへのアクセスを持っており、それに関する潜在的な悪用についてこれ以上洞察を得ることはないでしょう。

しかし、1つのphpファイル - wp-config.phpがありますが、それを保護する必要があります。このファイルには、DB認証情報と認証クッキーのスレート値が含まれています。また、FTP認証情報などの他のものも含まれている可能性があります。

あなたが嫌がらせのホスティングをしているならあなたがあなたのサイトに侵入するために私がしなければならないすべてがMySQLサーバーが同じハードウェア上にあるなら同じサーバーで口座を開くことですDBと私が望む任意の変更を加えます。専用のMySQLサーバーを持つホストの場合、必要なのは同じネットワーク上にあるアカウントだけなので、さらに簡単です。

あなたがランダムハッカーの犠牲者であるならば、あなたの認証クッキーソルトの知識を得ることはそれほど危険ではありませんが、それはあなたのクッキーから有効なパスワードを構築するのに使用することができます。 OTOH、あなたがセキュリティについて真剣であるならば、あなたは誰にも暗号化されていないHTTPを介してサイトにログインさせないでしょう、それは実際には本当のセキュリティ問題ではないかもしれません。

2
Mark Kaplun

ハッカーがあなたのサイトのあなたのPHPソースコードをすべて持っていれば、確かにそれは脆弱性を見つけることをより簡単にするでしょう。彼らは彼らのコンピュータ上にあなたのサイトのローカルバージョンを設定し、あなたのサイトにアクセスする方法を見つけるために突っ込んだり悪意を持ったりすることができます。それはコード自体に依存するのでこの質問に堅く、速い規則はない。

2
kingkool68