Насколько безопасно разрешить незнакомцу администратору Wordpress доступ к узлу CentOS?

Доступ с правами администратора в Wordpress дает полный контроль над настройками Wordpress, содержимым, пользователями и т. д. (включая экспорт всего этого, например, через резервную копию ). Я считаю, что это также позволяет выполнять произвольный код, поскольку любой пользователь Wordpress работает под (, вероятно, пользователем веб-сервера ), например, путем установки расширения Wordpress.

Однако я считаю, что тема Wordpress содержит код PHP. Таким образом (, если вы тщательно не проверили тему ), вы уже разрешили этому разработчику запускать произвольный код на вашем компьютере. Конечно, если это общедоступная -тема, риск ниже (, так как она не нацелена на вас и обнаружение более вероятно ).

Во многих случаях вы можете значительно снизить риск, настроив временный экземпляр Wordpress, например, с виртуальной машиной. Вы настраиваете минимально необходимое, чтобы увидеть проблему. Не копируйте свои данные (, чтобы, например, ваша пользовательская база данных не была скомпрометирована ); не -не используйте ваш существующий сайт/домен (для предотвращения атак на ваших пользователей, например, через JavaScript ). Вы можете настроить строгие правила брандмауэра для ВМ (на гипервизоре ). После того, как разработчик закончил, вы удаляете виртуальную машину,так что вас даже не волнует, была ли система скомпрометирована каким-то образом. Потенциально вы можете просто отправить образ ВМ разработчику, который затем воспроизведет проблему локально.

(Если вы не уверены, что сможете запустить виртуальную машину самостоятельно, вы можете получить ее относительно дешево у любого из многочисленных облачных провайдеров.)