¿Es posible atacar un sitio web de Wordpress si alguien sabe el nombre de usuario y la contraseña de la cuenta de administrador?

Question

¿Es posible atacar un sitio web de Wordpress si alguien sabe el nombre de usuario y la contraseña de la cuenta de administrador?

#1 de Ben (2 votos)

0

Actualmente, evité el acceso a mi wp-admin por htaccess, así como también use functions.php para crear una función para evitar el acceso al panel de administración si el usuario es Admin.

Si alguien conoce el nombre de usuario y la contraseña de la cuenta de administrador, ¿es posible cambiar la apariencia de mi sitio web, además de eliminar publicaciones / comentarios, etc.?

Si es posible, ¿cómo podrían?

wordpress

pregunta Hai Tien 18.10.2018 - 10:18

fuente

1 respuesta

Lea otras preguntas en las etiquetas wordpress

¿Cuáles son los pros y los contras de permitir que los usuarios permanezcan conectados a una aplicación web? ¿Es más seguro instalar una aplicación en forma .exe desde el sitio web oficial o en forma UWP desde la tienda de Microsoft?

score 2 · Accepted Answer

Como cada primera frase de los abogados: Depende. Entonces, sin saber exactamente lo que hizo, hagamos un poco de "evaluación de riesgos".

Hay varias formas de comprometer los sitios web basados en wordpress:

conocer las credenciales de administrador
encontrando una vulnerabilidad en wordpress
descubrir una vulnerabilidad en uno de los complementos utilizados
encontrar una vulnerabilidad en el servidor web o su configuración

Donde la vulnerabilidad como en: Vulnerabilidad del software, mala configuración, etc. También tenemos que dividir todas esas posibilidades en dos opciones:

ir de cero a admin
escalada de usuario a administrador

Así que veamos lo que ha logrado: si el acceso de administrador realmente está bloqueado y bloqueado adecuadamente, saber las credenciales de administrador ya no es una amenaza directa para la página (aún puede ser si reutiliza las credenciales de otro lugar o si su .htaccess o función no bloquea todos los recursos correctamente).

Todavía hay varias opciones a las que ir a la hora de orientar su sitio. Le sugiero que eche un vistazo a esta página . En mi opinión, las estadísticas son un poco demasiado agresivas, pero tendrá una idea de los problemas que podría enfrentar cuando proteja su sitio.

"El 73.2% de las instalaciones de WordPress más populares son vulnerables a las vulnerabilidades que pueden detectarse mediante herramientas automatizadas gratuitas". - WpWhiteSecurity.com

Esto me parece mucho, pero no es inimaginable. Eso no es exactamente lo que está preguntando, pero es algo de información que debe considerar cuando piense en cómo bloquear su sitio. También hay una cita sobre las credenciales, pero está realmente fuera de contexto, así que lea los enlaces detenidamente antes de hacer su opinión.

Entonces, sin conocer su objetivo exacto ni su enfoque exacto: bloquear su cuenta de administrador es un buen método (si funciona correctamente), pero las credenciales no son la única forma de transformar las instalaciones de wordpress en otra cosa. Y probablemente (cuidado; suposición) no son realmente necesarios en la mayoría de los casos. Si alguien logra encontrar algo de SQLi o RCE en su instalación de WP (no es improbable como se muestra anteriormente ) o uno de los complementos (incluso más probable) que su medida de seguridad podría no alcanzar.