我们在 wordpress 网站上做了一些渗透测试,返回的问题之一是:
可通过 Internet 访问管理门户
- 建议禁止通过 Internet 访问此门户
由于该站点是基于 Web 的 cms,这甚至可以修复吗?这不是我的专业领域,我正在努力寻找解决此问题的方法。
任何人都可以帮忙吗?
谢谢
问问题
226 次
2 回答
1
建议禁止通过 Internet 访问此门户
这一点太含糊了,这是做渗透测试和渗透测试软件的人的错。
但从http://codex.wordpress.org/Brute_Force_Attacks和 http://codex.wordpress.org/Hardening_WordPress开始
为了通过将 IP 12.345.67.891 和 23.456.78.99 列入白名单来限制对管理区域的访问,请在 wp-admin 的 .htaccess 中添加:
Options All -Indexes
order deny,allow
deny from all
allow from 12.345.67.891
allow from 23.456.78.99
deny from all
在根 .htaccess
<Files wp-login.php>
order deny,allow
deny from all
allow from 12.345.67.891
allow from 23.456.78.99
deny from all
</Files>
如果计算范围,也可以使用,即12.345.67.0/24
您还可以掩盖您正在使用 WordPress(不是理想的解决方案)这一事实,确保您的托管环境是安全的,并在这些指向 Codex 的链接上尝试其他最佳实践建议。
并查看https://wordpress.stackexchange.com/questions/tagged/security
于 2014-11-19T14:21:02.193 回答
0
据我所知,你不能以你想要的方式限制。但是您可以允许管理员通过 IP 地址访问特定用户。就像如果您希望除了您之外没有人可以访问您的 wp 管理员,那么您可以通过在 .htaccess 中指定您的 ip 来实现这一点。
于 2014-11-19T13:01:08.213 回答