È possibile attaccare un sito web Wordpress se qualcuno conosce username e password dell'account amministratore?

0

Attualmente, ho impedito l'accesso al mio wp-admin da htaccess e usato functions.php per creare una funzione per impedire l'accesso al pannello di amministrazione se l'utente è Admin.

Se qualcuno conosce il nome utente e la password dell'account Admin, è possibile modificare l'aspetto del mio sito web e cancellare post, commenti, ecc.?

Se possibile, come potrebbero?

    
posta Hai Tien 18.10.2018 - 10:18
fonte

1 risposta

2

Come tutti gli avvocati prima frase: dipende. Quindi, senza sapere esattamente cosa hai fatto, facciamo un po 'di "valutazione del rischio".

Ci sono diversi modi per compromettere i siti web basati su wordpress:

  • conoscenza delle credenziali di amministrazione
  • ricerca di una vulnerabilità in wordpress
  • individuazione di una vulnerabilità in uno dei plug-in utilizzati
  • individuazione di una vulnerabilità nel server web o nella sua configurazione

Dove vulnerabilità come in: vulnerabilità del software, configurazione errata e così via. Inoltre dobbiamo dividere ulteriormente tutte queste possibilità in due opzioni:

  • passando da zero ad amministratore
  • passaggio da utente ad amministratore

Quindi vediamo cosa hai ottenuto: se l'accesso amministratore è realmente bloccato e correttamente bloccato, conoscere le credenziali di amministratore non è più una minaccia diretta per la pagina (può essere ancora se riutilizzi le credenziali da qualche altra parte o se il tuo .htaccess o la funzione non blocca tutte le risorse correttamente).

Per il targeting del tuo sito sono disponibili ancora più opzioni. Ti suggerisco di dare un'occhiata a questa pagina . Le statistiche sono un po 'troppo aggressive a mio parere, ma avrai un'idea dei problemi che potresti incontrare quando proteggi il tuo sito.

“73.2% of the most popular WordPress installations are vulnerable to vulnerabilities which can be detected using free automated tools.” – WpWhiteSecurity.com

Questo mi sembra abbastanza, ma non è inimmaginabile. Non è esattamente quello che stai chiedendo, ma alcune informazioni da considerare quando pensi a come bloccare il tuo sito. C'è anche una citazione sulle credenziali, ma è davvero fuori contesto, quindi leggi attentamente i link prima di esprimere la tua opinione.

Quindi, senza conoscere il tuo obiettivo esatto o il tuo approccio esatto: bloccare l'account amministratore è un buon approccio (se funziona correttamente) ma le credenziali non sono l'unico modo per trasformare le installazioni di wordpress in qualcos'altro. E probabilmente (attenzione, ipotesi) non sono realmente necessari nella maggior parte dei casi. Se qualcuno riesce a trovare alcuni SQLi o RCE nella tua installazione di WP (non improbabile come mostrato prima di ) o uno dei plug-in (anche più probabile) che la tua misura di sicurezza potrebbe non catturare.

    
risposta data 18.10.2018 - 12:03
fonte

Leggi altre domande sui tag