Mar*_*lli 2 administration centos wordpress
我正在 CentOS Linux 7.7.1908 节点上使用 Wordpress 5.2 创建一个网站。PHP 版本是 7.x。
我已向我正在使用的主题的创建者寻求帮助。创建者要求我对 WP 控制台进行管理员访问,以便查看我遇到的问题并解决它。
我可以信任让 WP Admin 访问陌生人吗?可以利用此登录名来入侵机器吗?
Wordpress 中的管理员访问权限可以完全控制 Wordpress 设置、内容、用户等(包括将其全部导出,例如通过备份)。我相信它也允许在 Wordpress 运行的任何用户(可能是 Web 服务器用户)下执行任意代码,例如,通过安装 Wordpress 扩展。
不过,我相信 Wordpress 主题包含 PHP 代码。因此(除非您仔细审核了主题)您已经允许该开发人员在您的机器上运行任意代码。当然,如果这是一个公开可用的主题,则风险较低(因为它不是针对您的,并且更有可能被检测到)。
在很多情况下,您可以通过设置临时 Wordpress 实例(例如,使用虚拟机)来大大降低风险。您设置了查看问题所需的最低限度。不要复制您的数据(例如,您的用户数据库不会受到损害);不要重复使用您现有的站点/域(以防止对您的用户的攻击,例如通过 JavaScript)。您可以为 VM(在管理程序上)设置严格的防火墙规则。开发人员完成后,您删除 VM,因此您甚至不关心系统是否以某种方式受到损害。可能,您可以将 VM 映像发送给开发人员,然后开发人员可以在本地重现问题。
(如果您对自己运行 VM 没有信心,可以从众多云提供商中的任何一家那里获得相对便宜的虚拟机。)
| 归档时间: |
|
| 查看次数: |
136 次 |
| 最近记录: |