Gestisco un server PHP che utilizzerà l'account root per accedere al database. Tuttavia, il server si trova dietro un router e la porta 3306 non viene inoltrata. Va bene avere una password vuota per l'account root? Sto anche bloccando tutte le connessioni in entrata eccetto le porte 22 per SSH e 80 per HTTP.
Principio di defence in depth - Dovrai mettere in atto ulteriori livelli di protezione per proteggere i tuoi dati.
Per il tuo caso, se un utente malintenzionato riesce a forzare la tua password SSH o ad ottenere la tua chiave privata, sarà in grado di accedere al tuo account mysql root e ottenere i dati se la password è vuota. Tuttavia, se la password è impostata su una password generata casualmente sicura, allora c'è un ulteriore livello di protezione che proteggerà i tuoi dati. Dovrà forzare brutemente anche la password dell'account sql.
Oltre a SSH, potrebbe anche essere possibile eseguire un attacco di overflow del buffer sul server web sulla porta 80 e inserire una shell.
Leggi altre domande sui tag mysql passwords server firewalls port-forwarding