昨天又找到 wordpress 的 phpMyAdmin 底下被放了一些木馬執行檔, 我在想: 到底 wordpress 到底有哪些地方容易有後門呢?想著想著, 就看到 phpMyAdmin 裡面的權限.
咦? production.mysql.com 的 root 不用密碼就可以登入耶, 這不是個大漏洞嗎?只要先謊報一個 DNS, 自稱是 production.mysql.com, 就可以堂而皇之地登入了. 但這是安裝的預設值, 我也不敢把這個帳號刪掉, 所以我就幫它加了個密碼, 看起來沒事.
接著就把 localhost 的密碼也改了, 結果看到 “建立資料庫連線時發生錯誤". 雖然這個密碼是可以改的, 但是和 wp-config.php 裡面寫得不一樣. 這麼一來, wordpress 就無法透過 phpMyAdmin 去取用 MySQL 裡面的資料庫了. 所以兩者要同時修改才可以.
Cash Chou's Blog 