L'utilizzo di SSL per proteggere l'area amministrativa di Wordpress sarà ancora sicuro?

Naviga le tue risposte
2

La stragrande maggioranza del nostro sito web non contiene informazioni sensibili, accessi, moduli, ecc. Tuttavia ci sono parti guidate da wordpress, quindi stiamo cercando di ottenere SSL per proteggere queste aree.

Ci sono molti articoli su internet che istruiscono per proteggere le aree di amministrazione al fine di indurire il sito wordpress, tuttavia se la persona con le credenziali è in una sessione attiva e naviga verso un'altra parte del sito che isn ' t sotto SSL (per esempio, per controllare il post che hanno appena pubblicato), non annullerebbe gli sforzi per proteggere la sessione? O sono una pazza che non capisce come funziona?

Se avrebbe annullato allora come si protegge l'interfaccia di amministrazione? HTTPS è una cosa tutto o niente? Abbiamo già i contenuti al di fuori dell'installazione, in modo che da soli contribuiscano notevolmente a rendere più complesso il sito, tuttavia non vogliamo che le pagine di accesso e i cookie di sessione siano là fuori con i pantaloni intorno alle caviglie.

    
posta kristina childs 29.03.2013 - 23:50
fonte

2 risposte

2

In generale, è vero. Le richieste autenticate (richieste che contengono cookie o altre informazioni di stato che identificano un utente specifico) devono essere effettuate solo tramite HTTPS affinché tali dati rimangano ragionevolmente sicuri.

Tuttavia, in questa particolare istanza, potrebbe esserci una potenziale alternativa, ovvero impostare l'attributo "sicuro" sui cookie e trattare gli utenti come non autenticati su pagine non HTTPS. Se non è necessario autenticarsi nelle pagine non di amministrazione, l'impostazione del flag di protezione sui cookie assicurerà che non vengano inviati insieme alle richieste di pagine non di amministrazione non protette da SSL.

Quindi, se i cookie devono essere inviati con ogni richiesta, allora ogni richiesta deve essere HTTPS. Se non lo fanno, sei ugualmente al sicuro semplicemente assicurandoti che i cookie non vengano inviati tranne quando la richiesta è protetta da SSL.

    
risposta data 30.03.2013 - 00:06
fonte
0

Se utilizzi HTTPS solo per la sezione di amministrazione, continuerai a trasmettere l'ID sessione in testo semplice quando navighi nel resto del sito. Per mantenerlo sicuro, è necessario utilizzare HTTPS in tutto il sito.

    
risposta data 30.03.2013 - 00:06
fonte

Leggi altre domande sui tag

Eavesdropping di una comunicazione tra un'applicazione locale e la rete Implicazioni dell'utilizzo di account dominio \ nomecomputer $ per fornire dati SQL a IIS