惊!Google Code Search搜出Wordpress database密码

Code Search是Google最近开放的搜索服务,通过它可以检索google多年来抓取的大量代码,然而就在新服务开放的当日,好奇者就发现可以通过Code Search搜索到wp-config.php的内容。

wp-config.php记录了用于连接数据库用户名和密码,目前的情况是有将近50个wp-config.php得到了收录,而且可以看到username和password,而这些文件都是以ZIP和TAGBALL格式存放的。因此站长们目前的当务之急就是删掉服务器上以压缩格式存放的wordpress文件的备份,以免被收录而导致密码泄漏。

Google总是能给我们带来不同的惊喜,从Google Reader大进化到刚刚放出的Group beta,但这次事件却为我们敲响了警钟,太过于强大的搜索能力到底是好是坏?被收录的含有类似加密内容的网页还有多少?希望Google能尽快对此事采取相应的措施。

Update: 由于我仓促间的失误,造成之前的“关键证据”链接错误,语言也有易误解处,造成大家的不便,特此道歉!

Google Code Search收录的50个wp-config.php结果的正确链接:[Link]

所谓服务器上以压缩格式存放的wordpress文件的备份”是在如果你有备份的前提下说的,这个压缩文件并不是本身就存在的,Google所收录的若干个记录可能就是不慎把自己的Wordpress文件以压缩格式备份在服务器的人的。

最早的消息来源于:Deathbycomet;Gseeker关于此事的报导

Lucifr

Read more posts by this author.

Beijing, China http://lucifr.com