파일에 암호화되지 않은 MySQL 데이터베이스 비밀번호가 있는 WordPress 설치에 대해 불평하는 클라이언트에 문제가 있습니다 wp-config.php.
나는 이것이 표준 절차이며 해당 파일의 내용을 읽을 수 있는 사람은 누구나 관리 권한을 가질 것이며 데이터베이스에 연결할 수 있는 호스트를 제한하여 데이터베이스도 보호해야 한다고 말함으로써 이를 설명하려고 했습니다. .
클라이언트는 매우 완고하며 "우리는 훨씬 더 잘 보호되는 인트라넷보다 보안이 더 높습니다."라고 주장합니다.
데이터베이스 자격 증명을 일반 텍스트로 저장하는 것에 대한 다른 주장이 있습니까?
답변1
쉽게 말하면 비밀번호는~ 해야 하다데이터베이스에 인증하려면 해당 구성 파일을 읽어야 하기 때문에 해당 구성 파일에서 암호화를 해제해야 합니다.
그러나 적절한 권한과 적절한 호스트 이름 제한을 부여하면 암호를 사용하지 않는 것이 가능하지만 서버에 액세스할 수 있는 사람은 누구나 mysql보호된 데이터베이스에 액세스할 수 있으므로 이 방법은 권장하지 않습니다.
비밀번호는 서버에 대한 쉘 액세스 권한이 있는 사람만 액세스할 수 있으므로 전체적인 계획에서는 문제가 되지 않습니다. 또한 데이터베이스 서버는 웹에서 액세스할 수 없어야 합니다. 문제가 있다면 IT 문제가 아니라 정책 문제입니다.