Предполагая, что тема должным образом защищена, как сохранить администратора WordPress?
Относительно пункта 3 в этой (потрясающей) статье о mikejolley.com .
В нем говорится:
Никогда не доверяйте вводимым пользователем данным, даже тем, которые предоставлены пользователями с правами администратора, потому что:
- У вас нет возможности узнать, что пользователь тот, за кого себя выдает.
- Другие сценарии могут манипулировать опубликованными данными.
Я могу понять, что важно не доверять всем вводимым пользователем данным, так как пользователь с другой ролью может иметь плохие намерения.
Но затем, говоря о пользователях-администраторах, первый пункт как бы ломает концепцию для меня. Если кому-то удалось получить доступ к административной области, сделав ее похожей на кого-то другого, разве все это не закончилось в любом случае? Я имею в виду, даже когда вы убегаете и все дезинфицируете, не мог ли хакер просто вставить черный ход, сохранив код в http://www.example.com/wp-admin/theme-editor.php?
Насколько вероятно, что кто-то нежелательный проникнет в администрацию WordPress площадь?
Исключения:
- Зная пароль администратора с плохими намерениями
- Атака грубой силой или какая-либо другая атака, которая позволяет злоумышленнику войти в систему.
2 answers
Если кому-то удалось получить доступ к административной области, сделав ее похожей на кого-то другого, разве все это не закончилось в любом случае?
Для меня это больше часть ваших исключений, так как это основной способ получения доступа через WordPress... Так что не совсем, если у вас есть резервная копия, просто удалите базу данных, загрузите резервную копию и измените пароли - тогда, возможно, обратите внимание на дополнительную безопасность. Хороший план состоит в том, чтобы не называть администратора, например, администратором (делая это на одном сайте предотвратил множество попыток входа в систему со спамом для меня, когда люди пытались угадать пароль)
Насколько вероятно, что кто-то нежелательный проникнет в административную область WordPress?
Это действительно зависит от вашей настройки, от того, какие плагины безопасности у вас есть, или от того, настроили ли вы вручную какой-либо ограниченный доступ, например блокировку IP-адресов для определенных файлов. Чем больше вы вкладываете, тем больше им приходится иметь дело. Большинство из них являются методами снижения риска, которые помогают предотвратить грубую силу, и т.д.
Единственное, что я могу придумать, - это поддерживать ваш веб-сервер в рабочем состоянии, в безопасности и в актуальном состоянии, чтобы пользователи не могли использовать лазейки уязвимости для получения доступа к вашим серверам.
WordPress принимает отчеты о безопасности, поэтому, как сообщество, чем больше будет доведено до их сведения, теоретически, тем более безопасным станет WordPress. Честно говоря, если ваш сайт не популярен, и вы регулярно получаете спам, хиты и т. Д., Вы, Вероятно, не будете стоить того, чтобы тратить время на хакеров.
Хорошо, значит, админа полностью взломали. Ты облажался. Несмотря ни на что. Но что, если это локализованная/специфическая XSS-атака? Что делать, если редактор файлов в системе отключен? Что, если запрос подлинный, но администратор случайно вставил кучу дерьма, которое испортит вашу прекрасную тему?
Это все сценарии, от которых вы можете защититься. В конечном счете аргумент всегда будет заключаться в том, что вам нечего терять и все, что вы можете получить от правильного дезинфекция и побег.