Questa domanda è duplice davvero. In primo luogo, quali sono le vulnerabilità di un sito wordpress all'interno della tua intranet, e il secondo sono quali sono i rischi di determinati dipendenti per quella intranet. Quindi affronterò questo in due parti per chiarezza.
Intranet e Wordpress
Molte aziende creano siti interni per vari motivi, ma la corretta configurazione dovrebbe essere fatta comunque, dal momento che WP stesso presenta molte vulnerabilità. Uno dei problemi di sicurezza più importanti è la facilità con cui le sue credenziali di accesso possono essere forzate brutalmente.
Solo perché il sito si trova su una rete aziendale, non significa necessariamente che non può essere raggiunto / utilizzato dagli utenti della rete. Se qualsiasi macchina che ha accesso alla intranet viene compromessa, può essere utilizzata per accedere a questo sito WP. Una tecnica nota come pivoting , consente a un utente malintenzionato di compromettere un computer e utilizzarlo per sfruttare rapidamente altre macchine sulla stessa rete. Quindi il sito WP dovrebbe comunque essere conforme agli standard di sicurezza, ad es. autenticazione corretta, credenziali forti, ecc. A seconda dei dati che verranno archiviati dietro questa pagina, dovrebbero essere prese misure aggiuntive, sarà un blog? sarà un portale per i dipendenti a vedere le loro buste paga? ecc.
I dipendenti
All'interno di qualsiasi azienda ci saranno varie forme di rischio. Se questo è interno, come dipendenti insoddisfatti o attori esterni, come concorrenti, criminali, ecc. L'obiettivo non è ridurli il più possibile.
I dipendenti interni hanno un certo livello di fiducia intrinseca, dato che possono avere le carte-chiave per aprire le porte, accedere a determinate informazioni sensibili, siti Web, ecc. E questo può e spesso può portare a frodi o collusioni, dove il dipendente potrebbe sentirsi come se meritasse di più, avrebbe dovuto ottenere quell'aumento, lavorare sodo, ecc. ecc.
Gli attori interni devono ancora autenticarsi con il sistema per ottenere l'accesso alle sue risorse interne, tuttavia può essere altrettanto un rischio se qualcuno vuole causare un danno se ottiene le credenziali di amministratore per quel sito, permettendogli di essere usato come una piattaforma per vari altri attacchi.
Gli attori esterni dovranno prima entrare nella rete, cosa che può essere fatta in vari modi, ma un sito WP mal configurato potrebbe essere un eccellente bersaglio da compromettere e, se possibile, da usare per ruotare, forse le credenziali di amministratore per il sito sono lo stesso per il laptop di qualcuno?
In ogni caso, un sito interno dovrebbe essere configurato ad almeno un certo standard per evitare casi in cui può essere sfruttato. Spero che questo risponda alla tua domanda - se non sarò felice di aggiungerne altri se hai altre domande.
EDIT: mi sono imbattuto in questo articolo che evidenzia i punti fatti nella sezione "Intranet e Wordpress" della risposta. In particolare sull'identificazione di siti su reti locali e accessi in bruteforcing. può essere trovato qui .