WordPress -安全风险？

Question

我有一个WordPress站点，下面的链接是可以访问的：www.domain.com/wp-admin/ (显然不是真正的域名)。有人告诉我，这是一个安全风险。这是真的吗？

Answer 1

从本质上讲，攻击者掌握的关于你的设置的信息越多，你的情况就越糟糕。

话虽如此，但通过了解您的管理员登录页面获得的信息是相当微不足道的-因为它是所有WordPress站点的默认登录位置。因此，一旦攻击者发现您的站点是一个WordPress站点，他/她自然会尝试该链接。

只要你保持你的WordPress文件是最新的，你唯一容易受到攻击的(如果那个页面无法访问，你会受到保护)就是那个特定页面上的0天……

所以，真的，无论哪种方式都无关紧要。就我个人而言，我会尽可能地拒绝访问--但是，另一方面，你可能希望这个链接总是打开的，这样你就可以从任何地方登录和管理你的网站。我敢说，无论哪种方式，只要你有足够强的密码，你都会很好。

更新:要考虑的另一件事是，(编写良好、经过测试的)开源软件的登录页面很少会成为身份验证攻击的失败点。通常，危害系统涉及使用另一个易受攻击的页面泄露凭据，然后使用预期使用的登录页面。WordPress开发人员已经梳理了您登录页面中的代码，因为他们知道这将是任何人寻找漏洞的第一个地方。我更关心你正在运行的任何扩展，而不是让公众看到登录页面。

Answer 2

这就是简单的Wordpress。它本身并没有什么问题。但如果你从整体上关注安全性，请参阅http://codex.wordpress.org/Hardening_WordPress、http://www.reaper-x.com/2007/09/01/hardening-wordpress-with-mod-rewrite-and-htaccess/和http://www.whoishostingthis.com/blog/2010/05/24/hardening-wordpress/等，关于使用.htaccess保护管理员、删除一些WP可识别的线索、更改数据库前缀、SSL访问等内容。有些事情比其他事情更值得做，有些事情比安全更晦涩，但这都是一次学习的经历。

Answer 3

很多网站都有开放的wp-admin，但是如果你在apache上，你可以放入一个.htaccess文件和密码保护目录。