見知らぬWordPress管理者がCentOSノードにアクセスできるようにするのはどのくらい安全ですか?

見知らぬWordPress管理者がCentOSノードにアクセスできるようにするのはどのくらい安全ですか?

CentOS Linux 7.7.1908ノードでWordPress 5.2を使用してWebサイトを作成しています。 PHPのバージョンは7.xです。

私が使用しているテーマクリエイターに助けを求めました。クリエイターは、私が経験している問題を特定して解決するために、WPコンソールへの管理者アクセスを要求しました。

見知らぬ人にWP管理者アクセス権を与えることを信じることはできますか?このログインを使用してコンピュータをハッキングできますか?

ベストアンサー1

WordPressの管理者アクセスは、WordPressの設定、コンテンツ、ユーザーなどへのフルアクセス権を提供します(たとえば、バックアップによる完全なエクスポートなど)。たとえば、WordPress拡張機能をインストールして、WordPressを実行しているすべてのユーザー(おそらくWebサーバーユーザー)で任意のコードを実行できると思います。

しかし、私はWordPressテーマにPHPコードが含まれていると思います。したがって、(トピックを慎重に検討しない限り)、あなたはこの開発者があなたのコンピュータ上でランダムなコードを実行することを許可しました。もちろん、公開されたトピックであれば、リスクはより低いです(あなたを狙ったものではなく、検出される可能性が高いからです)。

ほとんどの場合、一時的なWordPressインスタンス(仮想マシンを使用するなど)を設定すると、リスクを大幅に軽減できます。問題の確認に必要な最小値を設定します。データをコピーしないでください(たとえば、ユーザーデータベースが破損しないように)。既存のWebサイト/ドメインを再利用しないでください(JavaScriptを介したユーザーへの攻撃を防ぐ)。ハイパーバイザーで仮想マシンに厳密なファイアウォールルールを設定できます。開発者の作業が完了すると、仮想マシンを削除できるため、システムが損傷しても気にする必要はありません。開発者に仮想マシンイメージを送信すると、開発者はローカルで問題を再現できます。

(仮想マシンを直接実行する自信がない場合は、多くのクラウドプロバイダーの1つで比較的安価に購入できます。)

おすすめ記事