¿Puedo comprometer la seguridad de mi VPS alojando un sitio de wordpress propiedad de otra persona?

0

Tengo mi VPS personal que ejecuta el servidor ubuntu 12.04 con la pila AMP estándar.

Quiero dar alojamiento a mi cliente. pero me preocupa si le doy al cliente wp hosting con acceso wp-admin, lo que significa que podrá ejecutar código php en mi servidor. Siendo VPS que se ejecuta en un solo nombre de usuario y apache www-data, ¿podría esto conducir a una violación de seguridad grave?

Puedo chmod www-data solo archivos que residen dentro del directorio uploads. Desactivando así los complementos adicionales y el acceso a las ediciones de archivos de tema. Pero será suficiente?


fuente

Respuestas:

0

Creo que lo que hay que tener en cuenta es que Wordpress, como cualquier otro software popular, suele ser blanco de ataques. El resultado es que puede configurar sus permisos de la mejor manera posible, pero si se instala una extensión y 6 meses después se encuentra una vulnerabilidad en ella, no pasará mucho tiempo antes de que su servidor se vea comprometido.

A menos que usted o su cliente estén preparados para aplicar diligentemente actualizaciones de seguridad y verificar minuciosamente todos los aspectos de seguridad de su servidor de forma regular, entonces seguramente se verá comprometido en algún momento.

No digo que sea imposible, solo vale la pena decidir si quieres arriesgar o no tu propio VPS.

GeoSword
fuente
0

Los sitios de Wordpress permiten a los administradores descargar e instalar complementos, que son solo bolas de código PHP. Eso significa que su cliente puede ejecutar lo que quiera (módulo de características de seguridad PHP para deshabilitar las llamadas directas a exec, etc.) en su servidor. Eres una escalada de privilegios locales desde que tienen root. ¿Puedes evitar que lo hagan? Tal vez. No apostaría por eso si tienes algo más que quieras en ese servidor.

Su mejor opción es mantener WP en una VM o contenedor propio que pueda reinstalar si es necesario.

Bill Weiss
fuente
Estaba pensando en bloquear al usuario para que no agregue complementos de wp repo. Solo la carpeta de escritura para WordPress será la carpeta de carga de imágenes. ¿Qué piensas?