您的实际DB密码未加密存储在wp-config.php, i、 例如,如果您的密码为foobar, 中的相应行wp-config.php 是:
/** MySQL database password */
define(\'DB_PASSWORD\', \'foobar\');
正如@Rarst指出的:
有权访问wp配置。php内容已经违反了正在进行的安全性。
这是因为PHP是一种超文本preprocessor. 任何访问wp-config.php 通过其web浏览器,文件将通过server-side PHP解释器。解释器仅将这些数据传递到客户端(web浏览器),该客户端已被指示输出这些数据。PHP不输出DB密码。当我访问wp-config.php 通过我的浏览器,我得到一个完全没有源代码的空页面,因为这个文件根本不输出任何内容。
然而,未加密存储DB密码并不是完全没有风险的。任何有机会绕过PHP解释器从而读取文件源代码的人都可以访问您的密码。这也是@Rarst的意思。要明确的是,这也可以是man-in-the-middle 谁在偷听你的unencrypted FTP connection. 下载时wp-config.php 通过一个不安全的FTP连接(与加密的SFTP连接相反)来编辑它并将其重新上传到您的服务器,您的密码可能会被监听does exist.
防止大多数攻击的最简单方法是通过安全更新使服务器保持最新,并确保始终使用安全协议(HTTP/FTP over TLS=HTTPS/FTPS 替代HTTP/FTP,或者SFTP, 和SSH 而不是Telnet)处理敏感数据时,即担任管理员时。
了解更多信息https://codex.wordpress.org/Hardening_WordPress.
