儲存未加密的網路應用程序/WordPress 密碼 - 向客戶解釋

我有一個客戶抱怨 WordPress 安裝的wp-config.php文件中包含未加密的 MySQL 數據庫密碼。

我試圖通過說明這是一個標準程序向他解釋這一點，無論誰能夠讀取該文件的內容，都將擁有管理權限，並且還應該通過限制可以連接到它的主機來保護數據庫.

客戶很固執，聲稱“我們的安全性比我們的內網要高，屏蔽的要好得多”。

是否有任何其他論據支持或反對以純文字形式儲存數據庫憑據？

簡而言之，該特定配置文件中的密碼必須未加密，因為需要讀取它才能對數據庫進行身份驗證。

但是，可以通過提供適當的權限和適當的主機名限制來不使用密碼，但我不建議這樣做，因為任何有權訪問伺服器的人都可以使用它mysql來訪問受保護的數據庫。

密碼只能由對伺服器具有 shell 訪問權限的人訪問，因此在總體方案中這不是問題。此外，不應從 Web 訪問數據庫伺服器。如果這是一個問題，那麼這是一個政策問題，而不是 IT。

引用自：https://serverfault.com/questions/587561