Google Code Search泄露wordpress密码
昨天刚刚提到google推出code search,本来有些隐忧当心这会给hackers开一扇门。
wp-config.php记录了用于连接数据库用户名和密码,目前的情况是有将近50个wp-config.php得到了收录,而且可以看到username和password,而这些文件都是以ZIP和TAGBALL格式存放的。因此站长们目前的当务之急就是删掉服务器上以压缩格式存放的wordpress文件的备份,以免被收录而导致密码泄漏。
—— Where Lucifer Falls: 惊!Google Code Search搜出Wordpress database密码
Wordpess使用者要小心了。
更新:
本人找不到那个所谓的压缩件,不过倒是有cache。另外一位blogger——zola也反映出:
我是wordpress用户,据我所知,服务器上没有以压缩格式存放的wordpress文件的备份,wordpress的数据库密码是写在wp- config.php中,通常是设置为777属性,是可以执行的,不会被访问访问到,即使有人故意访问这个文件,都只会显示成空白,
我是wordpress新手,希望各位高人指点指点。
9 则回应 to “Google Code Search泄露wordpress密码”
By zola on Oct 8, 2006 | Reply
我是wordpress用户,据我所知,服务器上没有以压缩格式存放的wordpress文件的备份,wordpress的数据库密码是写在wp-config.php中,通常是设置为777属性,是可以执行的,不会被访问访问到,即使有人故意访问这个文件,都只会显示成空白,例:
http://www.zuola.com/weblog/wp-config.php
如果用户不小心把这个文件设置为444的话,当GOOGLE的爬虫也许会得到这个wp- config.php的源代码,可是,这又能怪谁呢?只能怪网站操作者,绝不对怪罪GOOGLE。
如果有人受到了伤害,那也不是GOOGLE Code Search伤害的,那是被自己伤害的,那是被事实伤害的。
或者,这根本就是lucifr做的假新闻,目的是为了骗别人访问他的网站。你看他提到的关键证据部分的链接“将近50个wp-config.php得到了收录”,实际上是链接到他自己的站点,lucifr还在多个讨论组发布了这条假消息。
发件人: Lucifer 邮送域: googlegroups.com
回复: msn-spaces@googlegroups.com
收件人: WordPressCN@googlegroups.com, msn-spaces@googlegroups.com
日期: 2006-10-7 下午12:52
主题: [Geek] 惊!Google Code Search搜出Wordpress database密码
By 黄德峻 on Oct 8, 2006 | Reply
zola: 我也是在找那个压缩件,可是都找不到。
By zola on Oct 8, 2006 | Reply
看来确实是假消息。
By 瘸子恒 on Oct 8, 2006 | Reply
其实wp-config.php的default属性是644,不是777,基本上根本读不到,
我也认为是假的,我尝试搜寻,但找不到。
By Lucifer on Oct 8, 2006 | Reply
Zola你好, 谢谢你指出了我的错误链接, 当初复制地址时的疏漏,并非有意为之,在此郑重道歉。原地址应为
:http://google.com/codesearch?hl=en&lr=&q=lang%3Aphp+file%3Awp-config+user+-sample&btnG=Search
至于是不是假新闻,请大家自行判断:
最早发现此情况的blogger原地址:http://deathbycomet.com/2006/10/05/some-of-your-db-passwords-are-belong-to-us/
Gseeker关于此事的报道:http://www.gseeker.com/50226711/cgoogleaeccwordpressc_45111.php
我确实发布了这条消息到以上的两个论坛,因为我认为这两个论坛中使用wordpress的朋友比较多,有人可能会不小心将自己的文件打包后备份在服务器上造成不必要的损失,因此发了两个论坛以作警示。