我有一個WordPress網站,可以訪問以下鏈接:www.domain.com/wp-admin/
(顯然不是真正的域名)。有人告訴我這是安全風險。這個真相嗎?WordPress - 安全風險?
回答
本質的子目錄中安裝更多的信息攻擊者擁有關於你的設置,你的情況越糟糕。
然而,通過了解您的管理員登錄頁面獲得的信息非常簡單 - 因爲它是所有WordPress網站的默認登錄位置。因此,一旦攻擊者發現您的網站是一個WordPress網站,他/她自然會嘗試鏈接。
只要你保持你的WordPress文件是最新的,那麼你真的脆弱的唯一的東西(如果該網頁無法訪問,你將受到保護)是在特定頁面上的0day ...
所以,真的,這兩者無關緊要。就我個人而言,我會盡可能地拒絕其訪問 - 但另一方面,您可能希望始終打開該鏈接,以便您可以隨時隨地登錄和管理您的網站。我敢說,只要你有足夠強大的密碼,你就會好起來的。
更新:另一件需要考慮的事情是,(良好編寫,測試過的)開源軟件的登錄頁面很少成爲認證攻擊的失敗點。通常,危害系統涉及使用另一個易受攻擊的頁面泄露憑據,然後使用原定打算使用的登錄頁面。 WordPress開發人員已經梳理了登錄頁面中的代碼,因爲他們知道這將成爲任何人尋找漏洞的第一個地方。我會更關心你正在運行的任何擴展,而不是讓公衆可以看到登錄頁面。
我注意到你正在問開放的具體安全風險:Brute強制這種類型的登錄需要很長時間纔能有用,並且你會在日誌中注意到它,所以你可以簡單地採取行動來阻止一個IP 。我想如果你嘗試連續登錄太多次,WP可能會默認強制冷卻幾分鐘,所以你很好。添加一個.htaccess條目來停止一般訪問是另一個層次,並且當涉及到安全性時,層是_always_好的。 – uscere90 2011-06-14 22:06:33
那麼很多網站已經打開wp-admin,但是你可以在.htaccess文件和密碼保護目錄中,只要你在apache上。
我在Apache上。這個鏈接建議您提出的建議是一樣的:http://netaccountant.net/blogs-blogging-for-accountants/how-to-secure-your-wordpress-wp-admin-folder/。不過,我想知道:這裏的安全風險到底是什麼?這種風險有多危險? – StackOverflowNewbie 2011-06-14 22:00:43
以及它的你的博客管理員,所以如果有人真的想要得到它,他們可以嘗試暴力等,並獲得訪問您的管理面板。因此,除非您確實沒有任何您擔心的數據,否則您可以實施的任何安全措施都是一個好主意:) – 2011-06-14 22:02:42
這不是什麼大不了的事......有很多的東西,以避免它在那裏......你甚至可以有你的整個WP服務器
當然,但是我想知道讓公衆可以訪問的安全風險是什麼。有任何想法嗎??? – StackOverflowNewbie 2011-06-14 22:02:32
唯一我能想到的是,知道你是WP供電可能導致有一個「惡意用戶」尋找一種方式來利用WP動力網站。我的意思是,在wp安裝中比wp-login路由更重要的安全問題......例如,不要只保留默認的「admin」用戶..將其更改爲其他內容。 – 2011-06-14 22:13:58
不知道爲WordPress,但我知道至少有兩個電子商務軟件(Zen Cart和PrestaShop)建議將admin目錄重命名爲其他名稱(並且不要按命令打印URL)。
也許有一些已知的利用這些信息...
這只是Wordpress。它沒有天生的錯誤。但是,如果您對整體安全性感到擔憂,請參閱http://codex.wordpress.org/Hardening_WordPress和http://www.reaper-x.com/2007/09/01/hardening-wordpress-with-mod-rewrite-and-htaccess/和http://www.whoishostingthis.com/blog/2010/05/24/hardening-wordpress/等,以保護具有.htaccess的管理員,刪除一些WP可識別的線索,更改數據庫前綴,SSL訪問等等。有些事情比其他事情更值得做,比安全性更隱晦,但這都是一種學習體驗。
- 1. AHAH是安全風險嗎?
- 2. 安全風險(XSS)的風格屬性
- 3. 寫入文件夾和安全風險
- 4. ASP MVC會話安全風險
- 5. WCF自簽證明的安全風險
- 6. 多個提交按鈕安全風險
- 7. 框架登錄中的安全風險
- 8. 個人使用泡椒安全風險
- 9. Linux內核模塊 - 安全風險?
- 10. Apache中auto_prepend_file的安全風險?
- 11. PHP過濾器和安全風險
- 12. 使用xpath有什麼安全風險?
- 13. 表單身份驗證安全風險
- 14. SSL系統屬性 - 安全風險?
- 15. Drupal中$ update_access_free = true的安全風險
- 16. ElementRef安全風險角度2
- 17. 可以image.src是一個安全風險?
- 18. 安全風險披露php文件名
- 19. 動態網站的安全風險
- 20. 有任何安全風險codealike?
- 21. 啓用MSDTC的安全風險
- 22. 將PHP文件權限設置爲完全的安全風險
- 23. 是我的db連接的全球安全風險?
- 24. Drupal安裝的公共存儲庫:有哪些安全風險?
- 25. 使用的WebView安全風險(IOS,安卓)
- 26. 沒有傳輸安全性的WCF用戶名認證存在安全風險?
- 27. 風險
- 28. 風險
- 29. 查看公共文件,是否存在大的安全風險?
- 30. 本地化消息中可能存在的安全風險
更適合http://wordpress.stackexchange.com – dthorpe 2011-06-14 22:16:58