Warum phpMyAdmin nur ein Sicherheitsrisiko ist

Wer auf seinem Server ein phpMyAdmin Interface hat, versucht dieses mit guten Grund oft mit einer Subdomain, .htaccess Passwortschutz oder einen anderen Namen als /phpMyAdmin zu schützen. Bots suchen gerne nach offenen phpMyAdmin-Instanzen, die unter der Standard-Route /phpMyAdmin erreichbar sind – alte und ungeschützte Versionen werden leicht zu einem großen Sicherheitsrisiko. Wer dann noch den „root“-Nutzer nutzt, ist ein gefundenes Fressen für Hacker.

Dabei ist es oft doch gar nicht mehr nötig, phpMyAdmin zu installieren. Datenbank-Clients wie DBeaver, HeidiSQL oder DataGrip können mehrere Datenbankinstanzen verwalten, benötigen keine Installation auf dem Server und nutzen neben der Anmeldung an der Datenbank noch SSH um auf den Server zuzugreifen.

Zudem bieten diese Anwendungen oft noch mehr Tools, als das klassische phpMyAdmin: Sie können mehrere verschiedene Datenbanksysteme verwalten – sogar NoSQL-Systeme, zeigen u. a. auch ER-Diagramme der Datenbanken an, …

Insgesamt kann man mit diesen Anwendungen meist besser produktiv arbeiten, als mit phpMyAdmin und hat ein Sicherheitsrisiko weniger, weshalb ich in meinen privaten Projekten kein phpMyAdmin mehr nutzen werde.