Excluindo o phpMyAdmin setup.php

Resposta curta: Sim, exclua-a. Exclua também todo o diretório setup .

Long Answer: No passado, havia numerosas vulnerabilidades de injeção de código relacionadas ao setup.php do phpmyadmin. Como o arquivo é usado apenas para fins de configuração inicial e não deve ser usado após a instalação, não há nada a perder e, potencialmente, muito a ganhar, excluindo-o.

Além disso, as instruções de instalação do phpmyadmin recomendam a exclusão de todo o diretório setup após a instalação. Uma das sugestões encontradas em link é a seguinte:

Remove the setup directory from phpMyAdmin, you will probably not use it after the initial setup.

Então, sim, apague setup.php e delete todo o diretório setup .

Passos para Protegendo sua instalação do phpMyAdmin são introduzidos na documentação do phpMyAdmin . Isso inclui remover todo o diretório de configuração após a instalação.

Você também pode melhorar a segurança por

• desativando o login com contas de usuário que têm acesso a vários bancos de dados, por exemplo, raiz
• usando caminhos não padrão, algo diferente de / phpmyadmin
• não está publicando / phpmyadmin em todos os domínios, mas um único vhost como o link

Em geral, neste tipo de situações, você sempre pode criar restrições baseadas em diretório para o seu vache Apache. Dessa forma, você não precisa remover arquivos dos quais você não sabe ao certo se eles podem ser removidos. Isso também evitará que esses arquivos voltem às atualizações. Se você precisar de mais proteção geral contra varreduras de vulnerabilidades automatizadas, use Fail2ban .