Come tutti gli avvocati prima frase: dipende. Quindi, senza sapere esattamente cosa hai fatto, facciamo un po 'di "valutazione del rischio".
Ci sono diversi modi per compromettere i siti web basati su wordpress:
- conoscenza delle credenziali di amministrazione
- ricerca di una vulnerabilità in wordpress
- individuazione di una vulnerabilità in uno dei plug-in utilizzati
- individuazione di una vulnerabilità nel server web o nella sua configurazione
Dove vulnerabilità come in: vulnerabilità del software, configurazione errata e così via.
Inoltre dobbiamo dividere ulteriormente tutte queste possibilità in due opzioni:
- passando da zero ad amministratore
- passaggio da utente ad amministratore
Quindi vediamo cosa hai ottenuto: se l'accesso amministratore è realmente bloccato e correttamente bloccato, conoscere le credenziali di amministratore non è più una minaccia diretta per la pagina (può essere ancora se riutilizzi le credenziali da qualche altra parte o se il tuo .htaccess o la funzione non blocca tutte le risorse correttamente).
Per il targeting del tuo sito sono disponibili ancora più opzioni. Ti suggerisco di dare un'occhiata a questa pagina . Le statistiche sono un po 'troppo aggressive a mio parere, ma avrai un'idea dei problemi che potresti incontrare quando proteggi il tuo sito.
“73.2% of the most popular WordPress installations are vulnerable to vulnerabilities which can be detected using free automated tools.” – WpWhiteSecurity.com
Questo mi sembra abbastanza, ma non è inimmaginabile. Non è esattamente quello che stai chiedendo, ma alcune informazioni da considerare quando pensi a come bloccare il tuo sito.
C'è anche una citazione sulle credenziali, ma è davvero fuori contesto, quindi leggi attentamente i link prima di esprimere la tua opinione.
Quindi, senza conoscere il tuo obiettivo esatto o il tuo approccio esatto: bloccare l'account amministratore è un buon approccio (se funziona correttamente) ma le credenziali non sono l'unico modo per trasformare le installazioni di wordpress in qualcos'altro. E probabilmente (attenzione, ipotesi) non sono realmente necessari nella maggior parte dei casi. Se qualcuno riesce a trovare alcuni SQLi o RCE nella tua installazione di WP (non improbabile come mostrato prima di ) o uno dei plug-in (anche più probabile) che la tua misura di sicurezza potrebbe non catturare.