CentOS Linux 7.7.1908 노드에서 WordPress 5.2를 사용하여 웹 사이트를 만들고 있습니다. PHP 버전은 7.x입니다.
제가 사용하고 있는 테마 제작자에게 도움을 요청했습니다. 제작자는 제가 겪고 있는 문제를 확인하고 해결하기 위해 WP 콘솔에 대한 관리자 액세스 권한을 요청했습니다.
낯선 사람에게 WP 관리자 액세스 권한을 부여하는 것을 믿을 수 있습니까? 이 로그인을 사용하여 컴퓨터를 해킹할 수 있나요?
답변1
WordPress의 관리자 액세스는 WordPress 설정, 콘텐츠, 사용자 등에 대한 모든 권한을 제공합니다(예: 백업을 통한 전체 내보내기 포함). 예를 들어 WordPress 확장 프로그램을 설치하여 WordPress를 실행하는 모든 사용자(아마도 웹 서버 사용자)에서 임의 코드 실행을 허용한다고 생각합니다.
그러나 나는 WordPress 테마에 PHP 코드가 포함되어 있다고 생각합니다. 따라서 (주제를 주의 깊게 검토하지 않는 한) 귀하는 이 개발자가 귀하의 컴퓨터에서 임의의 코드를 실행하도록 허용했습니다. 물론, 공개된 주제라면 위험은 더 낮습니다(당신을 겨냥한 것이 아니고 탐지될 가능성이 더 높기 때문입니다).
대부분의 경우 임시 WordPress 인스턴스(예: 가상 머신 사용)를 설정하면 위험을 크게 줄일 수 있습니다. 문제를 확인하는 데 필요한 최소값을 설정합니다. 데이터를 복사하지 마십시오(예를 들어 사용자 데이터베이스가 손상되지 않도록). 기존 웹사이트/도메인을 재사용하지 마십시오(예: JavaScript를 통한 사용자에 대한 공격 방지). 하이퍼바이저에서 가상 머신에 대해 엄격한 방화벽 규칙을 설정할 수 있습니다. 개발자 작업이 완료되면 가상 머신을 삭제할 수 있으므로 시스템이 손상되더라도 신경쓰지 않아도 됩니다. 개발자에게 가상 머신 이미지를 보내면 개발자가 로컬에서 문제를 재현할 수 있습니다.
(가상 머신을 직접 실행할 자신이 없다면 많은 클라우드 제공업체 중 한 곳에서 상대적으로 저렴하게 구입할 수 있습니다.)
답변2
낯선 사람에게 관리자 액세스 권한을 부여하지 않습니다.
팀뷰어나 webex 등을 사용하여 그 사람에게 전체 액세스 권한을 부여하거나 비밀번호를 노출하지 않고도 볼 수 있도록 할 수 있습니다.