Назад | Перейти на главную страницу

Удаление phpMyAdmin setup.php

Файлы журнала моего веб-сайта показывают множество запросов, которые ищут:

/phpmyadmin/scripts/setup.php

У меня на сайте есть phpmyadmin. Я должен удалить это setup.php файл или просто позволить им запрашивать его?

Короткий ответ: Да, удалить. Также удалите весь setup каталог.

Длинный ответ: В прошлом было множество уязвимостей внедрения кода, связанных с phpmyadmin's setup.php. Поскольку файл используется только для целей начальной настройки и не предназначен для использования после установки, нет ничего, что можно потерять и, возможно, много выиграть, удалив его.

Кроме того, инструкции по установке phpmyadmin рекомендуют удалить все setup каталог после установки. Одно из предложений, найденных на http://docs.phpmyadmin.net/en/latest/setup.html#securing-your-phpmyadmin-installation гласит:

Удалите установочный каталог из phpMyAdmin, вы, вероятно, не будете использовать его после первоначальной настройки.

Итак, да, удалить setup.php и удалить весь setup каталог.

Шаги для Защита вашей установки phpMyAdmin представлены в документации phpMyAdmin. Это включает удаление всего установочного каталога после установки.

Вы также можете улучшить безопасность,

  • отключение входа в систему с учетными записями пользователей, которые имеют доступ к нескольким базам данных, например корень
  • используя нестандартные пути, что-то еще, кроме / phpmyadmin
  • не публикация / phpmyadmin на каждом домене, а на одном виртуальном хосте, например https://tools.example.com/

В общем, в таких ситуациях вы всегда можете создать ограничения на основе каталогов для вашего виртуального хоста Apache. Таким образом, вам не нужно удалять файлы, о которых вы точно не знаете, можно ли их удалить. Это также предотвратит возврат этих файлов при обновлениях. Если вам нужна более общая защита от автоматического сканирования уязвимостей, вы можете использовать Fail2ban.