我有一个WordPress网站,可以访问以下链接:www.domain.com/wp-admin/(显然不是真正的域名)。有人告诉我这是一个安全风险。这有什么道理吗?
答案 0 :(得分:6)
从本质上讲,攻击者提供的关于你的设置的信息越多,你就越糟糕。
尽管如此,通过了解您的管理员登录页面获得的信息非常简单 - 因为它是所有WordPress站点的默认登录位置。因此,一旦攻击者发现您的网站是WordPress网站,他/她自然会尝试该链接。
只要你保持你的WordPress文件是最新的,你唯一真正容易受到攻击的东西(如果该页面无法访问就会受到保护)是该特定页面上的0天......
所以,真的,无论如何都无关紧要。就个人而言,我会尽可能地拒绝访问它 - 但另一方面,您可能希望始终打开该链接,以便您可以从任何地方登录和管理您的网站。我敢说无论哪种方式你都没问题,只要你有足够强大的密码。
更新:需要考虑的另一件事是,(编写良好,经过测试的)开源软件的登录页面很少成为身份验证攻击的失败点。通常,危及系统涉及使用另一个易受攻击的页面披露凭证,然后使用登录页面,因为它打算使用。 WordPress开发人员已经梳理了登录页面中的代码,因为他们知道这将是任何人寻找漏洞利用的第一个地方。我会更关心你正在运行的任何扩展,而不是让公众可以看到登录页面。
答案 1 :(得分:1)
那简直就是Wordpress。没有什么本质上错误的。但是,如果您总体上关注安全性,请参阅http://codex.wordpress.org/Hardening_WordPress和http://www.reaper-x.com/2007/09/01/hardening-wordpress-with-mod-rewrite-and-htaccess/以及http://www.whoishostingthis.com/blog/2010/05/24/hardening-wordpress/等,有关使用.htaccess保护管理员,删除一些WP可识别线索,更改数据库前缀,SSL访问权限,等等。有些事情比其他事情更值得做,有些事情比安全更有晦涩,但这都是学习经历。
答案 2 :(得分:0)
很多网站都打开了wp-admin,但是你可以输入一个.htaccess文件和密码来保护目录,只要你使用的是apache。
答案 3 :(得分:0)
这不是什么大问题...有很多东西可以避免它存在...你甚至可以将整个wp安装在服务器的子目录中
答案 4 :(得分:0)
不确定WordPress,但我知道至少有两个电子商务软件(Zen Cart和PrestaShop)建议将管理目录重命名为其他名称(而不是在订单中打印URL)。 /> 也许有一些已知的漏洞利用这些信息......