Lucifr

惊！Google Code Search搜出Wordpress database密码

// 2006年10月07日 // 部落一格 // 4条留言 »

Code Search是Google最近开放的搜索服务，通过它可以检索google多年来抓取的大量代码，然而就在新服务开放的当日，好奇者就发现可以通过Code Search搜索到wp-config.php的内容。

wp-config.php记录了用于连接数据库用户名和密码，目前的情况是有将近50个wp-config.php得到了收录，而且可以看到username和password，而这些文件都是以ZIP和TAGBALL格式存放的。因此站长们目前的当务之急就是删掉服务器上以压缩格式存放的wordpress文件的备份，以免被收录而导致密码泄漏。

Google总是能给我们带来不同的惊喜，从Google Reader大进化到刚刚放出的Group beta，但这次事件却为我们敲响了警钟，太过于强大的搜索能力到底是好是坏？被收录的含有类似加密内容的网页还有多少？希望Google能尽快对此事采取相应的措施。

Update: 由于我仓促间的失误，造成之前的“关键证据”链接错误，语言也有易误解处，造成大家的不便，特此道歉！

Google Code Search收录的50个wp-config.php结果的正确链接：[Link]

所谓“服务器上以压缩格式存放的wordpress文件的备份”是在如果你有备份的前提下说的，这个压缩文件并不是本身就存在的，Google所收录的若干个记录可能就是不慎把自己的Wordpress文件以压缩格式备份在服务器的人的。

最早的消息来源于：Deathbycomet；Gseeker关于此事的报导