Если не делать бэкапы, то ружье (которое на стене висит) обязательно выстрелит вам в колено в один распрекрасный день.

Удобство или безопасность? С малой толикой безрассудства администраторы, веб-мастеры и прочие интернет граждане ежедневно откладывают вопрос безопасности на завтра, оставляя доступ к PMA под рутом. Сотни историй о потерянных данных я слышал и услышу ещё. "Настрою завтра", - говорили они себе, "Никому не нужен мой сайт и сервер" - наивно полагали они.

Тупые боты и даркнетовские хокеры брутят весь ваш этот интернет постоянно. Если вас еще не сломали, то просто не успели.

Мрачное вступление закончено. Товарищ! Удали phpMyAdmin или спрячь его получше!

На картинке выше видим, что все базы удалены, а чтобы всё вернуть изволь мил человек отчехлить битков.

Подробнее - 0.2 BTC Strikes Back, Now Attacking MySQL Databases

И чо делать?

Закрыть доступ root

В файле /etc/phpMyAdmin/config.inc.php заменить

$cfg['Servers'][$i]['AllowRoot'] =TRUE;

на

$cfg['Servers'][$i]['AllowRoot'] = FALSE;

Поменять адрес PMA на рандомный вместо foobar.com/phpmyadmin/

Про пароли и так всё ясно. Никаких vasyahacker и qwerty123.

Добавить htpasswd или закрыть по IP в htaccess.

Не использовать PMA.

Настроить ежедневный бэкап, чтобы когда сломают просто тихо сказать - "Бомбить колотить, как же так?! Ну ничо, у меня ж есть бэкапы, я ж не дурак".

EOM