在主web服务器上托管Wordpress是否存在安全问题？

Question

我们一直在Linux虚拟盒上托管Wordpress博客，在IIS服务器上托管我们的主要web应用程序。我们的网站是www.mainsite.com和wordpress是在www.blog.mainsite.com上。

现在有一项要求，即博客必须以www.mainsite.com/blog的形式出现。我可以在我们的主要网站IIS服务器上安装PHP、MySQL和Wordpress；我的问题是是否存在安全和性能方面的问题？在Wordpress和PHP中不时会发现一个新的漏洞；将这些易受攻击的技术带到我们的主要web服务器上好吗？有人能告诉我“如果wordpress博客的管理帐户被破坏了，这会对主web应用程序造成什么问题吗？”

如果把新的技术栈引入我们的主要IIS服务器是个坏主意，那么我们如何才能实现www.mainsite.com/blog而不是当前的www.blog.mainsite.com呢？

Answer 1

在任何机器上安装更多的软件(几乎)都会增加攻击机器的方式。因此，在可能的情况下隔离组件通常是很好的做法。假设攻击者可以利用wordpress博客中的漏洞来执行PHP代码，那么托管您的主站点的服务器就已经拥有了。

在这个新设置中想到的另一个问题是，将博客托管在与主站点相同的域上，可以让博客访问由主站点设置的cookie。因此，现在这些cookie可能容易受到wordpress站点上的XSS攻击，如果主站点是托管在www.example.com上的，而博客是在blog.example.com上的话，它们就不会受到攻击了。

编辑：

既然你问:我相信管理员在wordpress网站上可以安装插件/上传php文件，所以如果这个帐户被破坏，那么机器也会被破坏。

Answer 2

另一种选择是使用IIS的应用程序请求路由服务作为web服务器的代理。

以下是一些信息：

应用程序请求路由：

使用ARR作为前向代理：

由于没有什么特别的幻想是做从用户面对方面，这个设置应该没有问题的工作。

**第二篇文章中有你想要做的事情。