我正在 CentOS Linux 7.7.1908 节点上使用 Wordpress 5.2 创建网站。PHP 版本是 7.x。
我已向我正在使用的主题的创建者寻求帮助。创建者要求我具有 WP 控制台的管理员访问权限,以便查看我遇到的问题并解决它。
我可以信任将 WP 管理员访问权限授予陌生人吗?是否可以利用此登录来入侵机器?
答案1
Wordpress 中的管理员访问权限可以完全控制 WordPress 设置、内容、用户等(包括全部导出,例如通过备份)。我相信它还允许在 WordPress 运行的任何用户(可能是 Web 服务器用户)下执行任意代码,例如,通过安装 Wordpress 扩展。
不过,我相信 WordPress 主题包含 PHP 代码。因此(除非您仔细审核了主题)您已经允许该开发人员在您的计算机上运行任意代码。当然,如果这是一个公开的主题,则风险较低(因为它不是针对您的,并且更有可能被检测到)。
在很多情况下,您可以通过设置临时 Wordpress 实例(例如使用虚拟机)来大大降低风险。您设置了查看问题所需的最低限度。不要复制您的数据(因此,例如,您的用户数据库不会受到损害);不要重复使用您现有的网站/域(以防止对您的用户进行攻击,例如通过 JavaScript)。您可以为虚拟机(在虚拟机管理程序上)设置严格的防火墙规则。开发人员完成后,您可以删除虚拟机,因此您甚至不必关心系统是否受到损害。您可以将虚拟机映像发送给开发人员,然后开发人员可以在本地重现问题。
(如果您对自己运行虚拟机没有信心,您可以从众多云提供商中以相对便宜的价格购买一台。)
答案2
我不会让任何陌生人访问管理员。
您可以使用 teamviewer 或 webex 等让他查看,而无需授予他完全访问权限或暴露密码