Estoy ejecutando un servidor PHP que usará la cuenta raíz para acceder a la base de datos. Sin embargo, el servidor está detrás de un enrutador y el puerto 3306 no se reenvía. ¿Está bien tener una contraseña en blanco para la cuenta raíz? También estoy bloqueando todas las conexiones entrantes, excepto los puertos 22 para SSH y 80 para HTTP.
Principio de defence in depth : deseará colocar capas de protección adicionales para proteger sus datos.
En su caso, si un atacante logra forzar su contraseña SSH o puede obtener su clave privada, podrá iniciar sesión en su cuenta raíz de mysql y obtener los datos si la contraseña está en blanco. Sin embargo, si la contraseña se establece en una contraseña segura generada aleatoriamente, entonces hay una capa adicional de protección que protegerá sus datos. Él también tendrá que forzar la contraseña de la cuenta SQL.
Además de SSH, también podría ser posible ejecutar un ataque de desbordamiento de búfer en su servidor web en el puerto 80 y abrir un shell.
Lea otras preguntas en las etiquetas passwords firewalls server mysql port-forwarding