Security and Must Use Plugins

时间:2013-07-17 作者:Dominic P

codex article 必须使用插件:

只需将文件上载到mu插件目录即可启用,无需登录

我觉得这是一个潜在的安全问题。在站点上运行插件中的任何代码之前,必须通过管理面板激活常规插件。我一直认为这是一个明智的安全预防措施,因为攻击者如果能够以某种方式将文件上载到plugins文件夹,则在运行代码之前,还必须访问和修改数据库。这个mu-plugins 文件夹似乎提供了一种简单的方法来避免这种情况。

我知道WordPress开发人员比我更了解安全性,所以我想知道是否有人能解释为什么这不是一个安全漏洞。

1 个回复
最合适的回答,由SO网友:s_ha_dum 整理而成

我同意威克的评论。如果我能上传文件,游戏结束。如果我不能上传到mu-plugins 我可能会上传并覆盖主题的functions.php 或核心文件。这些选项中的任何一个都比mu-plugin 文件将。

“还修改数据库”部分是无关紧要的,因为如果我可以上传文件,修改数据库是微不足道的。快跑吧wp_insert_user 或使用$wpdb 运行SQL直接更改数据库。

换句话说,如果我可以将文件上传到服务器上,我对服务器的控制已经比PHP能够处理的更多,比PHP能够设置障碍的控制也更多。上传到服务器的能力是一种非常严重的黑客行为。

我不知道激活插件既方便又安全。用户可以打开和关闭插件,开发人员可以使用激活和停用挂钩来运行专用代码。

结束
标签: plugins   security   小码农  

相关推荐

About WordPress site security

如果我在服务器上安装WordPress,是否意味着Akismet会自动安装如果是,我是否仍然需要创建电子邮件验证和captcha工具来提高网站安全性(我看到WP本身没有此功能)captcha测试推荐什么-简单的php captcha或一些图形化ajax发明(通过绘制或移动对象等)?我的网站将是相当简单的,但会有用户的评论在每个页面上。