У меня возникла проблема с клиентом, который жалуется на то, что в wp-config.phpфайле установки WordPress имеется незашифрованный пароль базы данных MySQL.
Я попытался объяснить ему это, заявив, что это стандартная процедура, и тот, кто может прочитать содержимое этого файла, в любом случае будет иметь административные привилегии, и что базу данных также следует защитить, ограничив число хостов, которые могут к ней подключаться.
Клиент очень упрям и утверждает, что «у нас более высокий уровень безопасности, чем в нашей интрасети, которая гораздо лучше защищена».
Есть ли еще аргументы за или против хранения учетных данных базы данных в виде обычного текста?
решение1
Проще говоря, парольдолженбыть незашифрованным в этом конкретном файле конфигурации, поскольку его необходимо прочитать для аутентификации в базе данных.
Тем не менее, можно обойтись без пароля, предоставив соответствующие разрешения и соответствующие ограничения для имени хоста, но я не рекомендую этого делать, поскольку любой, имеющий доступ к серверу, сможет получить mysqlдоступ к защищенной базе данных.
Пароль может получить только тот, у кого есть доступ к оболочке сервера, так что в целом это не проблема. Кроме того, сервер базы данных не должен быть доступен из сети. Если это проблема, то это вопрос политики, а не ИТ.