Haker odgadł moje hasło. Czy to wina PHPMailera?

Question

Cześć Jestem Basia :) Ostatnio uczę się tworzyć strony internetowe i napisałam od podstaw stronę, która zawiera formularz kontaktowy. Aby móc sprawdzić czy mój kod php działa poprawnie wrzuciłam ją na serwer. Założyłam darmowe konto na cba.pl. Najpierw korzystałam z funkcji mail(), ale okazało się, że ta funkcja jest zablokowana wersji free - wiem jestem blondyną xD Dlatego w następnej kolejności skorzystałam z PHPMailera. Wszystko zadziałało idealnie, jednak po krótkim czasie otrzymałam maila od Hackera z moim prawdziwym hasłem :(((( 

Czy jest możliwe żeby ktoś mógł dostać się do mojego pliku php i odczytać hasło które musiałam podać przy konfiguracji ? dodam że nie zastosowałam jeszcze żadnej walidacji danych w formularzu w htmlu. Poniżej kod z pliku php:

<?php

use PHPMailer\PHPMailer\PHPMailer;


require_once 'phpmailer/Exception.php';

require_once 'phpmailer/PHPMailer.php';

require_once 'phpmailer/SMTP.php';



$alert = "";



$mail = new PHPMailer(true);



if(isset($_POST['submit']))

{

$name = $_POST['name'];

$email = $_POST['email'];

$message = $_POST['message'];

$number = $_POST['number'];


try{

$mail->isSMTP(); // send as HTML

$mail->Host = 'mail.cba.pl'; // SMTP servers

$mail->SMTPAuth = true; // turn on SMTP authentication

$mail->Username = 'tu był mój mail na cba'; // Your mail

$mail->Password = 'a tu było haslo'; // Your password mail

$mail->Port = 587; //specify SMTP Port

$mail->SMTPSecure = 'tls';

$mail->CharSet = 'utf-8';

$mail->isHTML(true);

$mail->setFrom('tu był mój mail na cba');

$mail->addAddress('a tu prawdziwy mail');

$mail->Subject='Message received (contact Page)';

$mail->Body='

<div style="margin: auto; color: #999999; border: 1px solid #000000">

<h1 style="color: #007bff;">Masz nową wiadomość od: '.$name.'</h1><br>

<p>E-mail: '.$email.'</p><br>

<p>Numer Telefonu: '.$number.'</p><br>

<p>Treść Wiadomości: '.$message.' </p>

</div>';


$mail->send();

$alert = '<div class="alert-success">

<span>Message Sent! Thank you for contacting us.</span>

</div>';


}catch(Exception $e){

$alert = '<div class="alert-error">

<span>'.$e->getMessage().'</span>

</div>';

}

}

?>

 

czy może coś źle wrzuciłam na serwer? 

 

 

Answer 1

A jaki to był mail? Bo prawdopodobnie dostałaś jeden z masowo rozsyłanych maili. Jeśli używasz tego samego hasła w wielu miejscach, to jest spora szansa, że kiedyś już wyciekło wraz z e-mailem. Można to sprawdzić choćby na Have I been pwned?.

Jeśli korzystasz z tego samego hasła w kilku miejscach, to polecam je zmienić. A najlepiej zacząć stosować manager haseł i mieć osobne hasło do każdej strony.

Comments

O rety faktycznie! dziękuję bardzo za uświadomienie 

jednak jeszcze dopytam, czy można jakoś ukryć hasło w phpmailerze? czy jest ono tam całkowicie bezpieczne?

---

Sposoby pewnie są (np. zmienne środowiskowe), ale hasło w kodzie jest w miarę bezpieczne i nie powinno wypłynąć tak długo, jak nie wypłynie sam kod.

No i zawsze można ograniczyć straty: użyj unikalnego hasła do maila z cba i wówczas nawet jak wypłynie, to ktoś będzie miał dostęp tylko do tego maila.