我心想,什麼阻止人們攻擊WordPress? 我的意思是,你可以很容易地將配置文件包含在插件中,並獲取數據庫設置並竊取管理員用戶名和密碼。如果我們已經在談論它,有沒有辦法100%保護數據庫設置?惡意Wordpress插件能竊取特權信息嗎?
回答
爲WordPress用戶帳戶的密碼安全與鹽散列,所以即使惡意插件做訪問數據庫和發送您的憑據回來,他們將不得不蠻力破解它們。
因此,如果你有一個安全的密碼,只安裝信任的插件和一個專用的服務器上運行您的網站,沒有共享訪問,你應該是相當安全的。
謝謝你的回答! – Yehonatan 2012-07-24 19:16:57
儘管如此,使用無鹽數據庫的用戶名和密碼可以造成更多的傷害。 – ceejayoz 2012-07-24 20:09:45
@ceejayoz是對的。如果插件讀取您的wp-config.php文件並獲取數據庫憑證或僅訪問$ wpdb變量併發出查詢,則它們比擁有WP管理員憑據的權力更強大。所以你應該確保在這種情況下,wordpress的MySQL用戶只能訪問wordpress表格,而沒有其他任何東西來緩解風險。並保留WP數據庫和文件的備份,以便您可以輕鬆從此類事件中恢復。 – drew010 2012-07-24 20:12:25
與任何代碼,你應該只從信任的來源安裝的WordPress插件。如果您特別謹慎和具有安全意識,您可以隨時先查看代碼。
- 1. 惡意網站可能會從其他網站竊取我的Cookie嗎?
- 2. 竊取我的信息
- 3. java和nlp提取信息(惡意軟件名稱)和過濾
- 4. WordPress的插件信息
- 5. Deleberate惡意軟件插入
- 6. 信息可以通過耳機插孔被後臺應用程序竊取嗎?
- 7. Site Hack - 從網站竊取信息
- 8. Wordpress中的惡意腳本
- 9. Wordpress惡意軟件一次又一次
- 10. WordPress的安全惡意軟件
- 11. Wordpress惡意軟件注入index.php模板
- 12. 感染惡意軟件的Wordpress站點
- 13. 圖像可能是惡意的嗎?
- 14. 惡意用戶可能編輯$ _SESSION嗎?
- 15. wordpress插件訪問帖子信息
- 16. wordpress插件自定義激活信息
- 17. WordPress插件權限
- 18. 減少PHP插件惡意的機會
- 19. WordPress短信插件?
- 20. WinAPI窗口消息似乎被插件竊取 - 如何解決?
- 21. WordPress的獲取信息
- 22. 惡意軟件掃描功能
- 23. 攻擊者可能試圖竊取您的信息(例如,密碼,信息或信用卡)。 NET :: ERR_CERT_COMMON_NAME_INVALID
- 24. 關於惡意黑客/垃圾郵件發件人的統計信息
- 25. WordPress插件的URL權限
- 26. 惡意用戶可能會濫用此功能嗎?
- 27. WordPress的惡意軟件文件的檢查
- 28. Eclipse插件讀取斷點信息
- 29. 如何在網站上發現惡意代碼/惡意軟件
- 30. Geotools獲取特徵信息
爲什麼你會上傳惡意插件到你的WordPress安裝? – nickb 2012-07-24 19:07:54
我不使用WordPress的,但希望惡意插件只能從該數據庫,而不是實際的密碼,盜取管理員密碼哈希!雖然我想這可能只是改變登錄頁面,當你鍵入它竊取密碼。 – octern 2012-07-24 19:14:43
我不會,但如果有人將添加一些的代碼,做什麼呢? – Yehonatan 2012-07-24 19:15:22