我正在 CentOS Linux 7.7.1908 节点上使用 Wordpress 5.2 创建一个网站。PHP 版本是 7.x。
我已向我正在使用的主题的创建者寻求帮助。创建者要求我对 WP 控制台进行管理员访问,以便查看我遇到的问题并解决它。
我可以相信将 WP Admin 访问权限授予陌生人吗?可以利用此登录名来入侵机器吗?
AskOverflow.Dev
我正在 CentOS Linux 7.7.1908 节点上使用 Wordpress 5.2 创建一个网站。PHP 版本是 7.x。
我已向我正在使用的主题的创建者寻求帮助。创建者要求我对 WP 控制台进行管理员访问,以便查看我遇到的问题并解决它。
我可以相信将 WP Admin 访问权限授予陌生人吗?可以利用此登录名来入侵机器吗?
Wordpress 中的管理员访问权限可以完全控制 Wordpress 设置、内容、用户等(包括全部导出,例如通过备份)。我相信它还允许执行任意代码,就像在 Wordpress 下运行的任何用户(可能是 Web 服务器用户)一样,例如,通过安装 Wordpress 扩展。
不过,我相信 Wordpress 主题包含 PHP 代码。因此(除非您仔细审核了主题)您已经允许该开发人员在您的机器上运行任意代码。当然,如果这是一个公开可用的主题,则风险较低(因为它不是针对您的,并且更有可能被检测到)。
在很多情况下,您可以通过设置临时 Wordpress 实例(例如使用 VM)来大大降低风险。您设置了查看问题所需的最低限度。不要复制您的数据(例如,您的用户数据库不会被破坏);不要重复使用您现有的站点/域(以防止对您的用户的攻击,例如,通过 JavaScript)。您可以为虚拟机(在管理程序上)设置严格的防火墙规则。开发人员完成后,您删除了 VM,因此您甚至不在乎系统是否以某种方式受到损害。潜在地,您可以将 VM 映像发送给开发人员,然后他们可以在本地重现问题。
(如果您对自己运行 VM 没有信心,您可以从众多云提供商中的任何一家那里以相对便宜的价格获得一个。)
我不会让任何陌生人访问管理员。
您可以使用 teamviewer 或 webex 等让他查看而不给他完整的访问权限或暴露密码