Модератор
Юрій
(@yube)
Могу предположить, что какой-то текстовый редактор при открывании файла на редактирование создает что-то типа wp-config.php.bak и не убирает за собой. Размеется, такой файл отдается as is. Лично я с такими редакторами я не сталкивался, зато сталкивался с одминчегами, которые сохраняют копии конфигов прямо на сайте, меняя расширение с php на old, tmp, bak и прочие низачтонеугадываемые буквосочетания. Сканы паспортов и других личных документов на сайтах тоже видел. Это я к тому, что самая большая проблема безопасности — прокладка между креслом и клавиатурой.
Модератор
Yui
(@fierevere)
永子
часто еще бывают wp-config.php~ wp-config.php.save deadletter
это уже юниксовые редакторы могут за собой оставить
естественно файл из типа application/x-php становится text/plain и отдается сервером в открытом виде
иногда сервер может отдавать .php скрипт как текст, при отключенном php интерпретаторе, что возможно при косяках настройки сервера.
Тем не менее информация попадающая в руки злоумышленника не позволяет ему сразу взломать все и вся.
Доступ к БД может быть ограничен извне, и должен быть ограничен
Остаются только ключи шифрования куки и nonce, c ними тоже ничего вот так сразу просто не сделать
Спасибо) Т.е. вывод простой, не редактировать все это непосредственно на серверах))