如果我将我的管理员登录发送给某人(主题提供商的支持人员),他们是否可以访问我的服务器? 时间:2012-06-29 作者:Markus 我从一家大型提供商(themeforest)那里买了一个WP主题。但它有很多bug。支持人员要求我发送我的WP管理员登录名/密码。这有什么风险?我知道supportstaff将使用WP管理员凭据完全访问WP安装。这对我来说没关系。但是这个实例运行的服务器呢?理论上他们是否可以访问服务器?这是不允许的。因为服务器上有很多机密的东西。我猜:很可能是的,他们可以访问?(据我所知,他们可以在wp代码编辑器中输入一些php代码,打开shell或读取系统中的一些文件?)还是我错了?谢谢 2 个回复 最合适的回答,由SO网友:Dan 整理而成 如果您给提供者提供完全的管理权限,从技术上讲,他们可以对您的服务器执行PHP能够执行的任何操作(通过使用给定主题的编辑器部分添加他们喜欢的任何命令)。PHP能够运行命令行脚本,仅举一个他们将继承的可怕权限。根据您运行页面脚本的用户(在服务器上,而不是在WordPress安装中),这可能是对服务器的某些web部分的完全控制或仅仅控制。不管怎样,这都不是无关紧要的。除了主题编辑器之外,我想不出任何会让你的服务器处于危险之中的东西,但如果他们提供主题,我认为他们需要访问它才能做很多事情,所以我不知道有什么好的选择可以让你的服务器安全,并满足他们的要求。 SO网友:brass 理论上,他们可以对你的网站做很多事情。如前所述,我将查看他们需要什么权限,然后根据这些权限创建一个用户。如果用户有大量的销售额、主题和一个良好的网络普通成员,我就不会太担心,因为许多内容提供商或制作人都会在themeforest上发现类似的bug。 结束 文章导航
