我有一个WordPress网站,可以访问以下链接:www.domain.com/wp-admin/
(显然不是真正的域名)。有人告诉我这是安全风险。这个真相吗?WordPress - 安全风险?
回答
本质的子目录中安装更多的信息攻击者拥有关于你的设置,你的情况越糟糕。
然而,通过了解您的管理员登录页面获得的信息非常简单 - 因为它是所有WordPress网站的默认登录位置。因此,一旦攻击者发现您的网站是一个WordPress网站,他/她自然会尝试链接。
只要你保持你的WordPress文件是最新的,那么你真的脆弱的唯一的东西(如果该网页无法访问,你将受到保护)是在特定页面上的0day ...
所以,真的,这两者无关紧要。就我个人而言,我会尽可能地拒绝其访问 - 但另一方面,您可能希望始终打开该链接,以便您可以随时随地登录和管理您的网站。我敢说,只要你有足够强大的密码,你就会好起来的。
更新:另一件需要考虑的事情是,(良好编写,测试过的)开源软件的登录页面很少成为认证攻击的失败点。通常,危害系统涉及使用另一个易受攻击的页面泄露凭据,然后使用原定打算使用的登录页面。 WordPress开发人员已经梳理了登录页面中的代码,因为他们知道这将成为任何人寻找漏洞的第一个地方。我会更关心你正在运行的任何扩展,而不是让公众可以看到登录页面。
我注意到你正在问开放的具体安全风险:Brute强制这种类型的登录需要很长时间才能有用,并且你会在日志中注意到它,所以你可以简单地采取行动来阻止一个IP 。我想如果你尝试连续登录太多次,WP可能会默认强制冷却几分钟,所以你很好。添加一个.htaccess条目来停止一般访问是另一个层次,并且当涉及到安全性时,层是_always_好的。 – uscere90 2011-06-14 22:06:33
那么很多网站已经打开wp-admin,但是你可以在.htaccess文件和密码保护目录中,只要你在apache上。
我在Apache上。这个链接建议您提出的建议是一样的:http://netaccountant.net/blogs-blogging-for-accountants/how-to-secure-your-wordpress-wp-admin-folder/。不过,我想知道:这里的安全风险到底是什么?这种风险有多危险? – StackOverflowNewbie 2011-06-14 22:00:43
以及它的你的博客管理员,所以如果有人真的想要得到它,他们可以尝试暴力等,并获得访问您的管理面板。因此,除非您确实没有任何您担心的数据,否则您可以实施的任何安全措施都是一个好主意:) – 2011-06-14 22:02:42
这不是什么大不了的事......有很多的东西,以避免它在那里......你甚至可以有你的整个WP服务器
当然,但是我想知道让公众可以访问的安全风险是什么。有任何想法吗??? – StackOverflowNewbie 2011-06-14 22:02:32
唯一我能想到的是,知道你是WP供电可能导致有一个“恶意用户”寻找一种方式来利用WP动力网站。我的意思是,在wp安装中比wp-login路由更重要的安全问题......例如,不要只保留默认的“admin”用户..将其更改为其他内容。 – 2011-06-14 22:13:58
不知道为WordPress,但我知道至少有两个电子商务软件(Zen Cart和PrestaShop)建议将admin目录重命名为其他名称(并且不要按命令打印URL)。
也许有一些已知的利用这些信息...
这只是Wordpress。它没有天生的错误。但是,如果您对整体安全性感到担忧,请参阅http://codex.wordpress.org/Hardening_WordPress和http://www.reaper-x.com/2007/09/01/hardening-wordpress-with-mod-rewrite-and-htaccess/和http://www.whoishostingthis.com/blog/2010/05/24/hardening-wordpress/等,以保护具有.htaccess的管理员,删除一些WP可识别的线索,更改数据库前缀,SSL访问等等。有些事情比其他事情更值得做,比安全性更隐晦,但这都是一种学习体验。
- 1. AHAH是安全风险吗?
- 2. 可以image.src是一个安全风险?
- 3. 个人使用泡椒安全风险
- 4. ASP MVC会话安全风险
- 5. Apache中auto_prepend_file的安全风险?
- 6. 启用MSDTC的安全风险
- 7. ElementRef安全风险角度2
- 8. 多个提交按钮安全风险
- 9. PHP过滤器和安全风险
- 10. 表单身份验证安全风险
- 11. 使用xpath有什么安全风险?
- 12. WCF自签证明的安全风险
- 13. SSL系统属性 - 安全风险?
- 14. Drupal中$ update_access_free = true的安全风险
- 15. 有任何安全风险codealike?
- 16. Drupal安装的公共存储库:有哪些安全风险?
- 17. 没有传输安全性的WCF用户名认证存在安全风险?
- 18. 风险
- 19. 风险
- 20. 可见的.git文件夹存在安全风险吗?
- 21. GAE数据存储和JDOQL的安全风险
- 22. phpMyAdmin是否会对生产造成安全风险
- 23. 链接抓取系统的安全风险
- 24. 网络安全的真正风险在哪里?
- 25. /var/run/docker.sock的Docker安全风险是什么?
- 26. SP_OACreate,SP_OAMethod等的使用是否存在安全风险?
- 27. 使用MySQL触发器执行PHP有哪些安全风险?
- 28. 安全风险? $ _REQUEST变量... $$本地堆栈
- 29. 用户提交的HTML的安全风险
- 30. set_include_path有什么缺点或安全风险?
更适合http://wordpress.stackexchange.com – dthorpe 2011-06-14 22:16:58