localhost
refere-se à máquina em que está sendo executado. Por exemplo, no meu próprio site tomjn.com localhost é 127.0.0.1
como sempre é. Isso não significa que o hacker não saiba onde se conectar, isso significa que o hacker substitui localhost
por tomjn.com
.
É claro que se eu tiver um proxy sentado na frente, isso não funcionará, mas lembre-se de que se o atacante tiver acesso ao meu wp-config.php
, esse mesmo acesso permitiria que eles fizessem outras coisas nessa máquina.
Agora, o invasor tem os detalhes do seu banco de dados e eles podem ler wp-config.php
. Eles agora têm acesso a tudo em seu banco de dados e podem alterar qualquer coisa em seu banco de dados.
Dependendo da segurança de sua instalação, eles podem criar um usuário para si mesmos, efetuar login, fazer upload de um plug-in via zip com um script PHP Shell e começar a emitir comandos ou usar o site como parte de uma bot net.
Eles também têm seus sais e chaves secretas (se você não tem nada disso, ruim, ruim, ruim), então a força bruta forçando as senhas dos usuários fica significativamente mais fácil. Eles também têm acesso aos seus e-mails.
Basta dizer que receber wp-config.php
é uma das piores coisas que podem acontecer. Muito mais coisas podem ser feitas com isso, mas levaria meses para digitar todos os ataques possíveis resultantes disso.
No caso de seu wp-config.php
ser adquirido, é provável que um script de ataque automatizado tenha feito isso, não uma pessoa real. Altere todos os seus detalhes, redefina todas as senhas e feche o furo.