나는 WordPress 사이트를 가지고 있으며 다음 링크에 액세스 할 수 있습니다 : www.domain.com/wp-admin/
(분명히 실제 도메인 이름이 아닙니다). 누군가는 이것이 보안 상 위험하다고 말했습니다. 이것에 어떤 진실?WordPress - 보안 위험?
답변
의 하위 디렉토리에 설치 가질 수있다, 더 많은 정보 공격자가 당신의 설정에 대해 가지고 있다면, 당신은 더 나빠집니다.
그러나 관리자 로그인 페이지를 알면 얻은 정보는 모든 WordPress 사이트의 기본 로그인 위치이므로 매우 사소한 것입니다. 따라서 공격자가 사이트를 WordPress 사이트라고 생각하면 자연스럽게 해당 링크를 시도합니다.
만큼 당신이 최신 워드 프레스 파일을 보관, 당신이 (당신이 해당 페이지에 액세스 할 수없는 있다면으로부터 보호 할 것) 정말 취약있는 유일한 것은 특정 페이지에 0일입니다...
정말, 어느 쪽이든별로 중요하지 않습니다. 개인적으로, 나는 그만큼 액세스를 거부 할 것입니다 - 그러나, 다른 한편으로는, 당신은 언제 어디서나 로그인하고 관리 할 수 있도록 링크를 항상 열어 놓는 것을 좋아할 것입니다. 나는 당신이 충분히 강력한 패스워드를 가지고있는 한, 어느 쪽이든 괜찮을 것이라고 말한다.
업데이트 : (잘 작성되고 테스트 된) 오픈 소스 소프트웨어의 로그인 페이지는 거의 인증 공격의 실패 지점이 될 수 있습니다. 일반적으로 시스템을 손상 시키려면 다른 취약한 페이지를 사용하여 자격 증명을 공개 한 다음 사용하려는 로그인 페이지를 사용해야합니다. WordPress 개발자는 로그인 페이지에서 코드를 뒤집어 썼습니다. 누군가가 악용 코드를 찾는 첫 번째 장소라는 것을 알기 때문입니다. 나는 로그인 페이지를 일반인이 볼 수있게 두는 것보다 실행중인 모든 확장 프로그램에 대해 더 우려 할 것입니다.
나는 당신이 그것을 열어 두는 특정 보안 위험에 대해 질문하고 있음을 눈치 챘습니다. 이런 유형의 로그인을 사용하면 너무 길어서 로그에 기록되는 것을 볼 수 있습니다. 따라서 IP를 차단하기위한 조치를 취할 수 있습니다 . WP에서 기본적으로 몇 분 동안 쿨 다운을 시도 할 수 있다고 생각합니다. 그렇게하면 여러 번 연속해서 로그인 할 수 있으므로 괜찮습니다. 일반 액세스를 중지하는 .htaccess 항목을 추가하는 것이 또 다른 계층이며, 보안에 관해서는 레이어가 항상 좋습니다. – uscere90
많은 사이트에 wp-admin이 있지만, 아파치에 있다면 디렉토리를 .htaccess 파일과 비밀번호로 보호 할 수 있습니다. 거기 그것을 피하기 위해 물건을 많이 거기에
저는 Apache에 있습니다. 이 링크는 귀하가 제안하는 것과 동일한 것을 제안합니다 : http://netaccountant.net/blogs-blogging-for-accountants/how-to-secure-your-wordpress-wp-admin-folder/. 나는 궁금하다. 보안 위험이 정확히 무엇인가? 그리고이 위험은 얼마나 위험합니까? – StackOverflowNewbie
잘 블로그 관리자, 그래서 누군가가 정말로 그것을 원한다면 그들은 무력 등을 시도하고 관리 패널에 액세스 할 수 있습니다. 그래서 당신이 구현할 수있는 보안은 당신이 거기에 대해 걱정하고있는 어떤 데이터도 갖고 있지 않다면 좋은 생각입니다. –
는 큰 문제가 아니다 ... 당신도 전체 WP는 서버 본질적으로
물론 이죠,하지만 공개적으로 접근 할 수있는 보안상의 위험이 무엇인지 알고 싶습니다. . 어떤 아이디어 ??? – StackOverflowNewbie
내가 생각할 수있는 단 한 가지는 당신이 WP 파워를 가지고 있다는 사실이 WP 파워 웹 사이트를 악용하는 방법을 "악의적 인 사용자"가 찾는 것으로 이끌 수 있다는 것입니다.wp-login 경로보다 wp 설치시 더 중요한 보안 문제가 있습니다. 예를 들어 기본 "admin"사용자를 그대로 두지 말고 다른 것으로 변경하십시오. –
WordPress에 대한 확신이 없지만 관리 디렉토리의 이름을 다른 이름으로 바꾸고 (주문시 URL을 인쇄하지 말 것을 권장하는) 적어도 두 개의 전자 상거래 소프트웨어 (Zen Cart 및 PrestaShop)를 알고 있습니다.
아마도이 정보를 사용하여 몇 가지 알려진 악용이 있습니다 ...
그건 단순히 워드 프레스입니다. 본질적으로 잘못된 것은 없습니다. 그러나 전반적으로 보안에 관심이 있다면 .htaccess로 관리자를 보호하고 WP 식별 가능한 단서를 제거하고 데이터베이스 접두어를 변경하고 SSL 액세스 및 계속 켜는 등의 작업을 수행하여 http://codex.wordpress.org/Hardening_WordPress 및 http://www.reaper-x.com/2007/09/01/hardening-wordpress-with-mod-rewrite-and-htaccess/ 및 http://www.whoishostingthis.com/blog/2010/05/24/hardening-wordpress/ 등을 참조하십시오. 어떤 것들은 다른 것들보다 가치가 있고, 보안보다 더 모호합니다. 그러나 그것은 모두 학습 경험입니다.
- 1. 보안 위험 : OLEDB Excel
- 2. 개인 데이터를 저장할 때의 보안 위험
- 3. GAE 데이터 저장소 및 JDOQL의 보안 위험
- 4. Flex를 사용할 때 나타날 수있는 보안 위험
- 5. SSL 시스템 속성 - 보안 위험 요소가 있습니까?
- 6. 위험 분석과 위험 완화의 차이점은 무엇입니까?
- 7. 위험 관리
- 8. 보안 위험 : GET 매개 변수를 통한 자동 로그인
- 9. set_include_path로 인한 단점 또는 보안 위험 요소가 있습니까?
- 10. WCF의 자체 서명 된 인증서에 대한 보안 위험
- 11. WCF의 바이트 배열 인 [DataMember]가 보안 위험 요소입니까?
- 12. 위험 관리로 소프트웨어를위한 출처
- 13. 위험 수준을 분명히 함
- 14. 소스 코드 변경 위험 측정?
- 15. Silverlight 3 - 4 위험 분석
- 16. 보안 및 전역 변수
- 17. 보안 위험 : 낮은 일리노이 프로세스가 상승 된 서비스를 시작할 수 있습니까?
- 18. ASP.NET MVC 페이지에서 https 보안 위험 관련 메시지를 끄는 방법은 무엇입니까?
- 19. JavaScript에서 사용자 입력을 실행하기 위해 eval()을 사용할 때의 보안 위험
- 20. PHP를 사용하여 원격 데이터베이스의 데이터베이스 덤프/백업을 수행하는 동안 보안 위험 및 적절한 조치
- 21. WordPress 설치 내에서 폴더를 만들면 보안 문제가 있습니까?
- 22. PHP (Wordpress)에서 HTML 및 PHP 파일을 포함하는 보안 HTML 파일 또는 보안 폴더
- 23. JS를 사용하여 내용을 새로 고침 할 때 발생하는 위험
- 24. 다음 데이터 소스 재정의로 인한 위험
- 25. 프레임 포인터 생략 하시겠습니까? 어떤 위험?
- 26. CSRF 토큰이없는 양식 : 위험 요소는 무엇입니까?
- 27. "."로 시작하는 Unix 명령의 ALIASing의 잠재적 위험?
- 28. Windows API 및 Administrator 계정의 위험?
- 29. 하위 유형의 인스턴스 변수 "재정의": 가능한 위험?
- 30. ASP.NET MVC를 처음 사용할 때의 주요 위험
http://wordpress.stackexchange.com에 더 적합합니다. – dthorpe