Security 如果我'；您是否在我的wp-config.php中保留了默认的身份验证密钥值？

愚蠢的问题，对吗？ 唉，我需要一个明确的答案

这就是希奇：

我们为使用DreamHost作为其提供商的客户建立了一个网站，这与我们更好的判断和建议背道而驰。 客户端使用DreamHosts一键安装WordPress，我相信是3.0

在匆忙完成站点的过程中，wp-config.php中的身份验证密钥和盐被保留为默认短语， “把你独特的短语放在这里”或其他什么

根据WP Codex，我目前的理解是，这些密钥用于为用户cookie添加安全性

然而，大约一个月后，不管出于什么原因，该网站的数据库就被清空了。不是信息模式，而是整个WP表。同样奇怪的是，该数据库的DreamHost备份也都是空的

客户端调用了，我们查看了它，但您无法调用DreamHost，然后客户端找到了默认的身份验证密钥，并开始锐化干草叉/照明火炬等

所以我的问题是，如果知道授权密钥保留在默认短语中，是否有可能访问数据库

我已经进行了彻底的搜索，但遗憾的是，没有发现任何明确的声明

---

再次感谢Stack Overflow，让我远离燃烧的火堆。

他们需要知道数据库的用户和密码，即使这样，我也非常确定Wordpress配置默认身份验证字符串不是人类可读的，就像您的示例中的“将您的独特短语放在这里”（从内存中，我认为上面一行中出现的注释），但实际上是guid。因此，除非Wordpress在每个zip包中使用相同的默认GUID，否则我不会认为这是罪魁祸首。

默认的身份验证密钥是“将您的唯一短语放在此处”。谢谢及时的回答。我也有同样的想法。只是需要一些快速的验证。快去营救！我最近发现将wp-config.php保留在默认目录中是非常糟糕的juju。建议将其提升一个级别，因为那里的权限只会授予apache（或serveradmin指定的任何人）访问权限。