Suporte » Desenvolvendo com WordPress » Senha criptografada no arquivo config.php mais segurança!

  • Resolvido wordlove

    (@wordlove)


    Pessoal, tem algum método de deixar a senha do bd que fica no config.php do blog, com algum método de criptografia e fazer a validação do bd?

    Porque eu acho muito inseguro deixar a senha no config.php do jeito que ela realmente é… Estou começando a programar, e queria essa dica de segurança pra fazer…

    Algo que por exemplo, criptografasse a senha que é essa por exemplo “s0s50s4” aí criptografasse com md5 ai ficaria assim:

    7a17483615932b1fa69bfbbab4e187f3

    E nessa senha md5 criptografasse mais uma vez com outro método, por exemplo “DES” ficando assim:

    CRPEbW/Oe9m1Q

    E colocasse ela assim com duas camadas de criptografia no arquivo config.php do blog, e algo que validasse ela no servidor para fazer o login.

    Tem como fazer algo assim?

Visualizando 12 respostas - 1 até 12 (de um total de 12)
  • Oi!

    É normal a senha e outros dados ficarem expostos nos arquivos PHP porque não tem como alguém obter esses arquivos sem ser por FTP. Existem scripts que podem emitir esses arquivos mas mesmo assim eles precisam do processamento do servidor (que é local) para ter esse acesso. Por isso dizemos que não se deve usar temas e plugins pirateados.

    O que é possível ser feito mas torna a instalação do WP inviável para os usuários em geral, é remover as senhas dos arquivos e mantê-las em um arquivo de conf acessível só pelo administrador da rede. Fonte

    É bobagem tentar qualquer coisa nesse sentido.

    Uma coisa que você pode fazer é mover o wp-config.php para um diretório acima da raiz do site (exemplo: de …/var/www/wp-config.php para ../var/wp-config.php).

    Então ele não ficaria acessível via web, mas o wp poderá acessar.

    Moderador Claudio Sanches

    (@claudiosanches)

    É totalmente normal usar a senha direto no arquivo, várias outras plataformas e linguagens fazem isso.
    Não tem nenhum risco de ser acessado por HTTP. O problema seria apenas se for por FTP ou SSH.

    E ai que fica legal, se alguém conseguir acesso por FTP ou SSH vai conseguir conectar no seu banco de dados sabendo ou não qual é a sua senha xD
    Basta chamar qualquer arquivo do WordPress e fazer a conexão usando os métodos do $wpdb http://codex.wordpress.org/Class_Reference/wpdb.
    Até mesmo hackeando por um plugin seria possível acessar todo o seu banco sem nem fazer ideia de qual é a sua senha.

    Então relaxa, tem outras coisas mais importantes sobre segurança que você deve se preocupar do que isso ai.

    Isso ^^

    Aliás, esse é exatamente o método da tal botnet que ainda tá ativa. E nem é via FTP nem SSH, só entrando no painel de administração pela senha fraca do administrador e usando o editor de temas.

    Criador do tópico wordlove

    (@wordlove)

    Uma invasão por SSH? Eu ando pesquisando sobre esse tipo de conexão… No qual só é possível conectar-se tendo um arquivo de texto no computador e uma palavra ‘senha’. Ou seja, só seria possível conectar-se tendo os 2, e como o arquivo de texto é um arquivo que só se tem no computador do próprio administrador, só mesmo a pessoa fazendo algum programa, spyware, alguma invasão para conseguir o arquivo para se conectar por SSH, e mesmo assim ainda teria que ter a senha também. Achei esse tipo de conexão bem segura…

    Moderador Claudio Sanches

    (@claudiosanches)

    Por SSH se estiver aberto para conexão sem chaves e o cara conseguir a sua senha é claro.
    Geralmente usa o SSH com chaves que ficam na sua maquina e a conexão é totalmente segura.
    Entretanto precisa saber de shell script para poder usar isso.
    Mas já vi nego perdendo senha de root em servidor (compartilhou ela por e-mail e teve a senha quebrada do e-mail xD)

    Enfim, a questão é que não adianta você querer criptografar a senha, colocar o wp-config.php em outro diretorio e etc, porque ainda pode ser hackeado por plugin ou tema inseguros ou por uma senha fraca no administrador do WP ou do seu FTP/SSH.

    Moderador Claudio Sanches

    (@claudiosanches)

    Outra coisa que pode acontecer, se você estiver usando hospedagem compartilhada é possível hackear um site e dependendo do sistema subir e hackear todos os sites do servidor.
    E ai no caso o seu site nem tinha nenhuma vulnerabilidade foi hackeado porque alguém que estava hospedado junto tinha.

    Quando alguém quer mesmo hackear sempre encontra uma forma de fazer… criptografar senha de MySQL não vai ter dar nenhuma segurança.

    Denrrou

    (@denrrou)

    O WP é muito legal, mas esta é só uma das suas vulnerabilidades.

    Mas realmente desenvolver um cms do tamanho e capacidade dele de forma 100% segura e gratuita seria talvez pedir demais.

    No meu ponto de vista a melhor segurança que se pode implementar para sites ou blogs em wp é através de os hospedar em menaged hosts.

    Criador do tópico wordlove

    (@wordlove)

    Claudio Sanches

    “Entretanto precisa saber de shell script para poder usar isso.
    Mas já vi nego perdendo senha de root em servidor (compartilhou ela por e-mail e teve a senha quebrada do e-mail xD)”

    Mas no caso a pessoa enviou a senha por email para ela mesmo, e deixou salvo lá não??!

    Porque precisaria hackear o email da pessoa para descobrir a senha.. (?)

    Acho que o Claudio quis dizer que o sujeito tinha dados como senhas no seu email pessoal e essa conta de email foi invadida, alguém a acessou e pegou dados do servidor que ele mantinha.

    Resumindo, às vezes parece que houve uma invasão, uma quebra de segurança terrível, mas no final foi só um questão de vazamento de informação e senhas fracas. Com a senha ninguém precisa ser um mago pra entrar em qualquer sistema.

    Moderador Claudio Sanches

    (@claudiosanches)

    Ele enviou para um desenvolvedor e ficou o e-mail enviando salvo.
    O cara entrou em contato comigo para depois que foi hackeado por tudo para migrar de servidor e arrumar as coisas.

    É bem o que a @diana falou, não adianta criar um sistema enorme de segurança se você não toma outras medidas que são mais simples e importantes para manter tudo seguro.

    Criador do tópico wordlove

    (@wordlove)

    Ah… no caso ele enviou a senha para o desenvolvedor, e creio eu, que não mudou a senha depois num foi?!

Visualizando 12 respostas - 1 até 12 (de um total de 12)
  • O tópico ‘Senha criptografada no arquivo config.php mais segurança!’ está fechado para novas respostas.