¿Existe algún problema de seguridad para alojar Wordpress en el servidor web principal?

Navega tus respuestas
2

Hemos estado alojando nuestro blog de Wordpress en una caja virtual de Linux y nuestra aplicación web principal en un servidor IIS. Nuestro sitio web es www.mainsite.com y wordpress está en www.blog.mainsite.com.

Ahora existe el requisito de que el blog aparezca como www.mainsite.com/blog. Puedo instalar PHP, MySQL y Wordpress en nuestro servidor IIS del sitio web principal; mi pregunta es si hay alguna preocupación de seguridad y rendimiento? De vez en cuando, se encuentra una nueva vulnerabilidad en Wordpress y PHP; ¿Está bien traer tales tecnologías vulnerables a nuestro servidor web principal? Alguien puede decir "si la cuenta de administrador del blog de wordpress se ve comprometida, ¿esto puede causar algún problema para la aplicación web principal?"

y si es una mala idea traer una nueva pila de tecnología a nuestro servidor web principal de IIS, ¿cómo podemos lograr www.mainsite.com/blog en lugar de www.blog.mainsite.com actual?

    
pregunta Goli E 29.12.2014 - 21:11
fuente

2 respuestas

6

Instalar más software en cualquier máquina (casi) siempre aumenta la cantidad de formas en que se puede atacar a la máquina. Por lo tanto, generalmente es una buena práctica segregar los componentes cuando sea posible. Supongamos que un atacante puede usar una falla en el blog de WordPress para ejecutar el código PHP, ahora el servidor que aloja su sitio principal es de su propiedad.

Otro problema que viene a la mente con esta nueva configuración es que alojar el blog en el mismo dominio que su sitio principal puede dar acceso al blog a las cookies establecidas por su sitio principal. Así que ahora estas cookies pueden ser vulnerables a los ataques XSS en el sitio de wordpress, cuando no lo hubieran sido si el sitio principal estuviera alojado en www.example.com y el blog en blog.example.com.

EDIT:

Desde que lo pidió: creo que el administrador en un sitio de wordpress puede instalar complementos / cargar archivos php, por lo que si esta cuenta estuviera comprometida, la máquina también se vería comprometida.

    
respondido por el Jon 29.12.2014 - 21:22
fuente
1

Una alternativa sería utilizar el servicio de enrutamiento de solicitud de aplicaciones de IIS como una especie de proxy para el servidor web.

Aquí hay alguna información:

Enrutamiento de solicitud de aplicación:

Usando ARR como un proxy hacia adelante:

Dado que no hay nada particularmente sofisticado que se haga desde el lado del usuario, esta configuración debería funcionar sin problemas.

** El segundo artículo tiene exactamente lo que estás buscando hacer en él.

    
respondido por el blfoleyus 29.12.2014 - 21:57
fuente

Lea otras preguntas en las etiquetas

Extraño correo electrónico no solicitado enviado a una dirección de correo electrónico casi nunca utilizada SSH: ¿Cuál es la diferencia o la interacción entre / etc / ssh / [archivos del host] y ~ / .ssh / [clave pública]