为什么我的新WordPress安装的配置页面在第一次安装时是公开可见的?

时间:2018-09-11 作者:Nathan Knutson

我是Wordpress的新手(我在90年代十几岁的时候就做过一些非常Web 1.0的设计工作),我刚刚遇到了一些我真的很困惑的事情。

我在Dreamhost上用一个新域创建了一个新帐户,选择了预安装Wordpress的选项,然后出于混淆,取消选中Dreamhost的选项,该选项的大意是“如果以后想注册域,请取消选中此框”,因为我不清楚一些不相关的事情。

后来我注册了这个域名。然后,出于好奇,我将浏览器指向它,只是想看看默认的停靠页面是什么样子。我震惊地发现,那里有一个配置选项页面,任何人都可以查看和访问,其中可以首次设置用户密码并选择其他选项。当时我登录了Dreamhost,所以我在注销后和另一台ip不同的机器上都进行了检查,结果是一样的。这对我来说似乎很疯狂;任何人都可以在那里做任何事。我删除了该安装并重新安装,它要求您转到sitename。com/wp登录。php就像普通的一样。发生了什么事?

1 个回复
最合适的回答,由SO网友:Mark Kaplun 整理而成

这是dreamhost文档/实践中的一个问题(我假设wordpress的所有“一键式”安装都存在这个问题)。他们应该已经澄清,您应该在创建站点后几分钟内完成安装。wordpress的安装分为两部分,假设一次性完成。

但是,实际上,攻击者没有理由试图劫持这样一个网站,因为一旦发现它就会被摧毁,攻击者也无法保持控制。

结束
标签: wp-config   小码农  

相关推荐

Wp-config.php中的if语句,这可能吗?

我已经到处搜索了,但找不到任何确定的东西。我有WordPress multisite,我有一个插件(在每个站点上激活),需要在wp config中设置slug参数。php。不幸的是,网络的每个站点都需要不同的slug参数。我想知道是否可以在wp config中放入if语句。php,以便根据$_SERVER[\'HTTP_HOST\'] 变量代码如下:if ( stristr( $_SERVER[\'HTTP_HOST\'], \'site.com\' ) ) { define(\