Может ли хакер получить доступ к моей базе данных, если я оставил значение ключа аутентификации по умолчанию в моем wp-config.php?

Question

Глупый вопрос, верно?увы, мне нужен определенный ответ,

Вот строчка:

Мы создали сайт для клиента, который использовал DreamHost в качестве своего поставщика, вопреки нашему лучшему суждению и советам.Я полагаю, что клиент использовал DreamHosts One-Button-Install of WordPress 3.0.

В стремлении завершить работу сайта ключи аутентификации и соли в файле wp-config.php были оставлены в качестве фразы по умолчанию,«поместите здесь свою уникальную фразу» или что-то в этом роде.

В соответствии с Кодексом WP я понимаю, что эти ключи используются для повышения безопасности файлов cookie пользователей.

Тем не менее примерно через месяцПо какой-то причине база данных сайта просто опустела.не информационная_схема, только целые таблицы WP.Также странным было то, что резервные копии DreamHost для этой базы данных также были пустыми.

Клиент позвонил, мы изучили его, но вы не можете вызвать DreamHost, затем клиент обнаружил ключи аутентификации по умолчанию на месте,и начал заточку вил / фонарей и т. д.

Итак, мой вопрос такой: возможно ли получить доступ к базе данных, если вы знаете, что ключ авторизации оставлен в фразе по умолчанию?

Я провел тщательный поиск, но, увы, не обнаружил ничего, что прямо указывало бы на иное.

Еще раз спасибо Stack Overflow за то, что удержал меня от горящего костра.

Answer 1

Им нужно было бы знать имя пользователя и пароль базы данных, и даже тогда я почти уверен, что строки авторизации по умолчанию в конфигурации Wordpress не читаются человеком, как «поместите здесь свою уникальную фразу», как в вашем примере (из памяти, я думаю, что это выглядит закомментировано в строке выше), но на самом деле это GUID. Поэтому, если Wordpress не использует одинаковые GUID по умолчанию в каждом zip-пакете, я не могу предположить, что это виновник.