问受损害的Wordpress管理帐户风险

EN

简单地说，这样的妥协会让攻击者有能力做任何管理员可以做的事情。这可能包括：

• 更改主题文件
• 安装插件
• 访问(Wordpress)数据库

等。

当然，管理员也有能力安装恶意插件/文件(比如webshell)。

但是，除了wordpress网站本身，还有其他风险吗？

这是安全的假设“是”-将有额外的风险。

在不涉及大量细节的情况下，可以造成的损害将是以下因素造成的：

• 您的web服务器配置(您是否chroot您的web文件)？
• 运行php可执行文件的权限。
• 在整个服务器中设置文件权限是多么谨慎。你有什么重要的文件可以写吗？

关于最后一点:当然，即使您的“重要”文件是不可写的，它们也很可能具有世界可读性。

我不想在这里自我推销，但你可能想看看我做的这个webshell平台：

https://github.com/chrisallenlane/wash

我在YouTube上演示了一个Wordpress应用程序。这给您提供了攻击者可能造成的问题的相当合理的概述：

https://www.youtube.com/watch?v=UPaUync0TVA

请原谅低质量、单调的视频:)

TL;DR:如果我有一个被破坏的管理帐户，我个人会考虑整个系统被破坏，并从头开始重建它，如果这是一个选择。