WordPress インストールのファイル内に暗号化されていない MySQL データベース パスワードが含まれていると苦情を言うクライアントがいて、問題がありますwp-config.php。
私は、これは標準的な手順であり、そのファイルの内容を読み取ることができる人は誰でも管理者権限を持っているはずであり、データベースに接続できるホストを制限することでデータベースも保護する必要があることを述べて、これを彼に説明しようとしました。
クライアントは非常に頑固で、「当社のイントラネットの方がはるかに保護がしっかりしており、セキュリティも高い」と主張します。
データベースの資格情報をプレーンテキストで保存することに対する賛否両論は他に何かありますか?
答え1
簡単に言えば、パスワードしなければならないデータベースへの認証にはその構成ファイルを読み取る必要があるため、その特定の構成ファイルでは暗号化されていない必要があります。
ただし、適切な権限と適切なホスト名制限を与えることでパスワードなしの使用は可能ですが、サーバーにアクセスできるユーザーなら誰でもmysql保護されたデータベースにアクセスできるため、これはお勧めしません。
パスワードにアクセスできるのは、サーバーへのシェル アクセスを持つユーザーのみなので、全体的な計画では問題ではありません。さらに、データベース サーバーは Web からアクセスできないようにする必要があります。問題がある場合は、IT ではなくポリシーの問題です。