phpMyAdminsetup.phpを削除しています
私のウェブサイトのログファイルには、以下を探している多くのリクエストが表示されます。
/phpmyadmin/scripts/setup.php
私のウェブサイトにはphpmyadminがあります。私はそれを削除することになっていますかsetup.phpファイルまたは単にそれを要求し続けるようにしますか?
短い答え:はい、削除します。また、setupディレクトリ全体を削除します。
長い答え:過去には、phpmyadminのsetup.phpに関連する多数のコードインジェクションの脆弱性がありました。このファイルは初期設定の目的でのみ使用され、インストール後に使用することを目的としていないため、削除しても失われることはなく、多くの利益が得られる可能性があります。
さらに、phpmyadminのインストール手順では、インストール後にsetupディレクトリ全体を削除することをお勧めします。 http://docs.phpmyadmin.net/en/latest/setup.html#securing-your-phpmyadmin-installation にある提案の1つは、次のようになります。
PhpMyAdminからセットアップディレクトリを削除します。初期セットアップ後はおそらく使用しません。
したがって、はい、setup.phpを削除し、setupディレクトリ全体を削除します。
phpMyAdminのインストールを保護する の手順は、phpMyAdminのドキュメントで紹介されています。これには、インストール後にセットアップディレクトリ全体を削除するが含まれます。
また、セキュリティを向上させることができます
- 複数のデータベースにアクセスできるユーザーアカウントでのログインを無効にします。ルート
- / phpmyadmin以外のデフォルト以外のパスを使用する
- すべてのドメインで/ phpmyadminを公開するのではなく、 https://tools.example.com/ のような単一の仮想ホストを公開します
一般に、この種の状況では、Apache仮想ホストに対してディレクトリベースの制限をいつでも作成できます。これにより、削除できるかどうかわからないファイルを削除する必要がなくなります。これにより、これらのファイルが更新時に戻ってくるのを防ぐこともできます。自動化された脆弱性スキャンに対するより一般的な保護が必要な場合は、 Fail2ban を使用できます。