web-dev-qa-db-fra.com

Si un pirate informatique examine tous les fichiers php, peut-il me faire du mal?

par exemple, j'avais tout le contenu ftp (fichiers php instalation wordpress) de sauvegarde, et le pirate informatique a obtenu ce fichier de sauvegarde et a examiné tous les fichiers php (y compris config.php et etc) ... peut-il en quelque sorte accéder à mon site wordpress?
La base de données distante est désactivée.

1
T.Todua

Oui et non. Le code lui-même est généralement dépourvu de sens, à moins que votre code propriétaire ne comporte d’énormes exploits faciles à trouver. Tout ce qui n'est pas propriétaire - thèmes, plugins et core wordpress - le pirate informatique a déjà un accès à et n'approfondira plus les éventuels exploits qu'il contient en examinant votre sauvegarde.

Mais il existe un fichier php, wp-config.php, que vous devez protéger à tout prix. Ce fichier contient les informations d'identification de base de données et les valeurs de slating pour les cookies d'authentification, et peut contenir d'autres éléments tels que les informations d'identification FTP.

L'information de base de données est dangereuse, car tout ce que j'ai à faire pour pénétrer sur votre site si vous êtes hébergé sur un hébergement hébergé consiste à ouvrir un compte sur le même serveur si le serveur MySQL est situé sur le même matériel. DB et apporter toute modification que je voudrais. Pour les hôtes avec un serveur MySQL dédié, c'est encore plus facile car tout ce dont j'ai besoin, c'est d'un compte qui sera sur le même réseau.

Connaître votre cookie d'authentification est moins dangereux si vous êtes victime d'un pirate informatique aléatoire, mais vous pouvez l'utiliser pour créer un mot de passe valide à partir de votre cookie. OTOH, si vous êtes sérieux au sujet de la sécurité, vous ne laisserez personne se connecter au site via HTTP non crypté, ce qui pourrait ne pas être un réel problème de sécurité.

2
Mark Kaplun

Eh bien, il serait certainement plus facile de trouver des vulnérabilités si le pirate informatique disposait de tout votre code source PHP pour votre site. Ils pourraient mettre en place une version locale de votre site sur leur ordinateur et chercher un moyen d'accéder à votre site. Il n’existe pas de règle absolue à cette question car elle dépend du code lui-même.

2
kingkool68