使用WordPress cms时,我们可以隐藏多少信息?

时间:2021-11-27 作者:Maxfield

只需使用WordPress启动并运行我的第一个网站。使用Wappalyzer和WPScan等工具。许多WebSite正在被曝光。我已经使用了隐藏我的wp插件。但仍然从WPscan收到此信息

 | [!] 3 vulnerabilities identified:
 |
 | [!] Title: PWA for WP <= 1.0.8 - XSS
 |     Fixed in: 1.0.9
 |     References:
 |      - https://wpscan.com/vulnerability/f737a5c7-6c40-4a75-9145-045cc707cdc0
 |      - https://plugins.trac.wordpress.org/changeset?reponame=&new=2057552%40pwa-for-wp&old=2041924%40pwa-for-wp
 |
 | [!] Title: PWA for WP & AMP < 1.7.33 - Authenticated (Subscriber+) Arbitrary File Upload
 |     Fixed in: 1.7.33
 |     References:
 |      - https://wpscan.com/vulnerability/db9d5a08-a16a-4767-8d85-1b3e02dbbfbd
 |      - https://blog.nintechnet.com/wordpress-pwa-for-wp-and-amp-plugin-fixed-vulnerabilities/
 |
 | [!] Title: PWA for WP & AMP < 1.7.33 - Authenticated (Subscriber+) Settings Change
 |     Fixed in: 1.7.33
 |     References:
 |      - https://wpscan.com/vulnerability/b38a51d7-375e-4cca-88ba-ccab796ac134
 |      - https://blog.nintechnet.com/wordpress-pwa-for-wp-and-amp-plugin-fixed-vulnerabilities/
以及enter image description here来自Wappalyzer。

别误会我的意思。我不介意让人们知道我使用WordPress来构建我的网站。但我想尽可能隐藏所有其他信息,因为我觉得那些黑客知道的信息越多,我的网站的安全性就越低。

那么,我们应该担心这些信息被泄露吗?有什么改进的方法吗?使用wordpress时可以隐藏多少信息?

1 个回复
最合适的回答,由SO网友:Tom J Nowell 整理而成

但我想尽可能隐藏所有其他信息,因为我觉得那些黑客知道的信息越多,我的网站的安全性就越低。

99.999999%的攻击都是全自动机器人。实际尝试闯入的人类非常罕见,当他们这样做时,他们要么使用与机器人相同的工具,要么以低技术攻击的人类为目标,这些攻击很容易通过基本保护(如2FA或登录限制)击败。

那么,我们应该担心这些信息被泄露吗?有什么改进的方法吗?使用wordpress时可以隐藏多少信息?

这是无关紧要的,隐藏它并不能提高您的安全性。

隐藏您使用的插件及其版本并不能解决安全问题,bots don\'t check the plugins you use before trying an exploit, they just use the exploit and if it works it works.

机器人使用一种先开火后忘记的策略。如果您查看服务器日志,您将看到机器人程序在您的WP站点上启动Drupal或Joomla漏洞攻击。为什么要浪费时间检查一个漏洞是否可用,而你可以直接启动它,如果它起作用,网站就会成功地打电话回家?时间就是金钱,尽可能快地向尽可能多的网站提出请求,如果这不适用于他们,那么你已经为自己节省了一系列检查。

那我该怎么办

你能做的最好的事情就是不要隐藏你正在使用的PWA for WP & AMP 或者它所在的版本,但要卸载它或更新到修复该问题的插件版本。这就是WP Scan的建议,它告诉您问题修复的版本(至少升级到Fixed in: 1.7.33 ).

You can\'t fix an insecure theme or plugin by hiding it or installing a plugin.

一般来说,通过隐蔽/隐藏东西来实现安全性会让你感觉更好,仅此而已,它实际上并不会让你的网站更安全。从长远来看,错误的安全感实际上会降低网站的安全性。

标签: security   小码农  

相关推荐

wordpress admin security

我用不同的工具扫描我的网站,但它没有显示恶意脚本。但当我在管理仪表板中看到时,我在body标签下面看到了奇怪的方形符号。我试图检查管理索引文件,根索引文件,但什么都没有。有人放了这个脚本。而且,当我试图采取备份它不允许我采取。使用BackupFordPress插件。然而,所有其他的事情都在运行,但在管理方面仍然存在一些问题。如何检测和删除此项。