Hai un risco con WordPress ID

06 de novembro de 2008 no Blog da Seguridade

Vostede sabe que hai un gran risco en WordPress ID?

Ben, en realidade, o risco é o ID-se!

Cando por primeira vez de instalar software WordPress, ha xerar un nivel de identificación coñecido como "Admin", entón recibirás un contrasinal estándar tamén.

O contrasinal parecer complicado, entón pensas que iso é bo o suficiente, certo?

Deixe-me explicar aquí.

A maioría dos hackers coñece a identificación estándar é Admin, a única cousa que eles non saben é o contrasinal. En software WordPress, pode repetir escribir o contrasinal tantas veces cantas queira, sen revocar o ID. Isto, na miña opinión, é un dos puntos débiles do software WordPress.

En outras aplicacións, a súa identificación será revocar unha vez que repetir 3 veces (dependendo da configuración do administrador). Nalgúns instalación do ordenador, precisas contrasinal para o cambio nunha certa frecuencia, dependendo da configuración do administrador (mensual ou bimestral)

Deixe-me compartir con vostedes a miña historia persoal. Algúns anos, eu teño outro blog. Este é o meu primeiro blog. Afortunadamente eu non publicar unha morea de información aínda.

Un día, atopei o meu incapaz de login para o meu ID. Pode adiviñar o número de identificación que está a usar?

That's right, eu estou usando Admin ID.

Entón eu entro na miña conta de hospedaxe web e comprobar a base de datos MySQL True suficiente, alguén cambiou a miña contrasinal Admin ID. Tamén foi creado outro ID.

Afortunadamente, eu era capaz de axustar o número de identificación de Administración e xestionada para entrar

Así, en termos de boas prácticas, crear unha identificación con privilexios de administrador. Use a nova identificación para o seu uso cotián. Se xa ten unha ID admin, eliminar este ID. Non mantelo, máis pode un día alguén invadir seu blogsite usando o ID Admin.