允許陌生人 Wordpress 管理員訪問 CentOS 節點有多安全？

我正在 CentOS Linux 7.7.1908 節點上使用 Wordpress 5.2 創建一個網站。PHP 版本是 7.x。

我已向我正在使用的主題的創建者尋求幫助。創建者要求我對 WP 控制台進行管理員訪問，以便查看我遇到的問題並解決它。

我可以相信將 WP Admin 訪問權限授予陌生人嗎？可以利用此登錄名來入侵機器嗎？

Wordpress 中的管理員訪問權限可以完全控制 Wordpress 設置、內容、使用者等（包括全部導出，例如通過備份）。我相信它還允許執行任意程式碼，就像在 Wordpress 下執行的任何使用者（可能是 Web 伺服器使用者）一樣，例如，通過安裝 Wordpress 擴展。

不過，我相信 Wordpress 主題包含 PHP 程式碼。因此（除非您仔細審核了主題）您已經允許該開發人員在您的機器上執行任意程式碼。當然，如果這是一個公開可用的主題，則風險較低（因為它不是針對您的，並且更有可能被檢測到）。

在很多情況下，您可以通過設置臨時 Wordpress 實例（例如使用 VM）來大大降低風險。您設置了查看問題所需的最低限度。不要複製您的數據（例如，您的使用者數據庫不會被破壞）；不要重複使用您現有的站點/域（以防止對您的使用者的攻擊，例如，通過 JavaScript）。您可以為虛擬機（在管理程序上）設置嚴格的防火牆規則。開發人員完成後，您刪除了 VM，因此您甚至不在乎系統是否以某種方式受到損害。潛在地，您可以將 VM 映像發送給開發人員，然後他們可以在本地重現問題。

（如果您對自己執行 VM 沒有信心，您可以從眾多雲提供商中的任何一家那里以相對便宜的價格獲得一個。）

引用自：https://unix.stackexchange.com/questions/562771