He escuchado que la base de datos con acceso a URL (como con PHPmyadmin) sería menos segura que sin dicho acceso.
No soy un experto en SI y no trabajo en el campo, pero no puedo ver cómo este dicho es cierto; ¿Por qué esto importaría? En cualquier caso, cualquiera puede acceder a la base de datos localmente para software como Workbench o Navicat, si tiene las credenciales correctas ...
No es necesariamente inherentemente menos seguro, solo a menudo prácticamente .
En primer lugar, agregar más software agrega más cosas que debes proteger. Phpmyadmin ha tenido su parte de vulnerabilidades , y ahora tiene que preocuparse por esas además de las de MySQL. tenías que preocuparte antes.
Una cosa bastante estándar que ver con MySQL es limitar los privilegios de las cuentas para que solo acepte inicios de sesión de una pequeña lista blanca de IPs (para una aplicación pequeña, que puede ser solo localhost). Pero tan pronto como instala Phpmyadmin, ha proporcionado un tipo de proxy para el acceso a MySQL desde en cualquier lugar , a menos que También tomas medidas adicionales para bloquear eso también .
Las interfaces web como esta pueden configurarse de forma segura, pero solo agregan otra herramienta administrativa que necesita proteger; Si aprende a usar la línea de comando mysql sobre ssh, entonces puede eliminar un punto de entrada para un atacante.
De forma predeterminada, la mayoría de los servidores de bases de datos solo proporcionan acceso local (por ejemplo, usuario @ localhost). Sin una aplicación web, ninguna cantidad de adivinación de contraseña o publicación HTTP inyectada en sql permitirá que un atacante remoto acceda a la base de datos.
Las aplicaciones web alojadas en la misma máquina generalmente se conectarán a la base de datos a través del dominio o IP local de loopback y aceptarán solicitudes HTTP de la red. Por lo tanto, una aplicación web proporciona un vector de ataque para su base de datos. Cuantas más aplicaciones alojadas haya conectado a su base de datos (Wordpress, Drupal, phpmyadmin, etc.), mayor será el riesgo de que la base de datos pueda ser explotada.
PHPMyAdmin en particular es un gran objetivo para un atacante porque una combinación única de nombre de usuario / contraseña podría proporcionar acceso completo y sin restricciones a todas las bases de datos en el servidor MySQL. La mayoría de las aplicaciones web solo requieren conectarse a una base de datos única con un usuario sin privilegios.
Lea otras preguntas en las etiquetas databases