如何解决有关通过Wordpress管理员访问服务器根目录的安全性问题
我有一个安全问题。我为WordPress管理员提供了进行一系列更改的权限。他可以使用外壳程序或任何其他方式渗透服务器并访问服务器上的其他主机吗?
解决方法
默认情况下,任何具有管理权限的用户都可以访问WordPress插件和主题编辑器,并实时更改站点上的任何主题或插件文件。
–来自https://wordpress.org/support/article/editing-files/
从理论上讲,这使您的服务器可以执行任意代码。您可以考虑通过审查格子的方法locking down the root user和基岩的must-use-plugin-autoloader来缓解此默认漏洞。
(这很酷,您可以在composer.json
文件中定义插件。这就是它的神奇之处。)
"installer-paths": {
"web/app/mu-plugins/{$name}/": ["type:wordpress-muplugin","roots/wp-stage-switcher"],"web/app/plugins/{$name}/": ["type:wordpress-plugin"],"web/app/themes/{$name}/": ["type:wordpress-theme"]
},
这样可以防止在主题部署上下文之外将新代码“写入”主题/插件文件夹,从而避免了WP管理员编写他们喜欢的任何代码的麻烦。
(但是,如果您假设是恶意管理员,则可能需要技术方面的帮助,而且需要社交。)
,简短答案: 不
详细答案: 这种凭证只能在wordpress实例中使用。 他可以使用自定义插件来修改一些代码行,但不能超出主题文件夹。 某些插件可以修改wp-config.php,但不能再修改。
通过设置,您可以取消GUI插件的安装,因此只有通过FTP的服务器管理员才能安装它们。
通常,此凭据只能修改该wordpress安装文件,因为该Wordpress-DB中存在该文件
没有人可以通过ftp / ssh进行访问,因为他需要该服务器的用户名/密码和IP。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。