Security WordPress-安全风险？

我有一个WordPress网站，可以访问以下链接：www.domain.com/wp-admin/显然不是真正的域名。有人告诉我这是一种安全风险。这是真的吗？

很多网站都有open wp admin，但是如果你在apache上，你可以输入.htaccess文件和密码来保护目录。

这没什么大不了的。。。有很多东西可以避免它出现在那里。。。您甚至可以将整个wp安装在服务器的子目录中

本质上，攻击者关于您的安装的信息越多，您的情况就越糟

尽管如此，通过了解你的管理员登录页面所获得的信息是非常微不足道的——因为它是所有WordPress站点的默认登录位置。因此，一旦攻击者发现您的站点是WordPress站点，他/她自然会尝试该链接

只要您保持WordPress文件处于最新状态，如果无法访问该页面，您唯一真正易受攻击的是该特定页面上的0天

所以，真的，这两种方式都不重要。就个人而言，我会尽可能地拒绝访问该链接，但另一方面，你可能希望该链接始终处于打开状态，这样你就可以从任何地方登录和管理你的站点。我敢说，只要你有足够强的密码，无论哪种方式你都会没事的

---

Update：另一个需要考虑的问题是，编写好的、受测试的开源软件的登录页面很少是认证攻击失败的关键点。通常，泄露系统涉及使用另一个易受攻击的页面泄露凭据，然后按照预期使用登录页面。WordPress开发人员已经仔细检查了您登录页面中的代码，因为他们知道这将是任何人寻找漏洞的第一个地方。我更关心的是你正在运行的任何扩展，而不是让公众可以查看登录页面。

不确定WordPress，但我知道至少有两个电子商务软件Zen Cart和PrestaShop建议将管理目录重命名为其他名称，并且不要按顺序打印URL。。。。

---

也许有一些已知的利用这些信息的攻击…

这只是Wordpress。它本身没有什么问题。但是，如果您关心整体安全性，请参阅和等，关于使用.htaccess保护管理员、删除一些可识别WP的线索、更改数据库前缀、SSL访问等等。有些事情比其他事情更值得去做，有些事情比安全性更值得去做，但这都是一种学习经验。

我在Apache上。此链接建议的内容与您建议的内容相同：。我想知道：这里的安全风险到底是什么？这种风险有多危险？好吧，这是你的博客管理员，所以如果有人真的想得到它，他们可以尝试暴力等，并获得访问您的管理面板。因此，您可以实现的任何安全性都是一个好主意，除非您在其中没有任何您担心的数据：当然，但我想知道，让公众访问该数据会有什么安全风险。有什么想法吗？？？我唯一能想到的是，知道你是WP驱动的可能会导致恶意用户寻找利用WP驱动的网站的方法。我的意思是，wp安装中有比wp登录路径更重要的安全问题…例如，不要只保留默认的管理员用户..将其更改为其他用户。我注意到您正在询问将其保持打开状态的具体安全风险：粗暴使用这种登录方式需要很长时间才能发挥作用，并且您会在日志中注意到这一点，因此，您可以简单地采取措施阻止IP。我认为，如果你连续多次尝试登录，WP可能会在默认情况下强制你冷却几分钟，所以你在这方面没有问题。添加.htaccess条目以停止常规访问是另一层，当涉及到安全性时，层总是好的。更适合隐蔽性的安全性根本不是安全性。当然，我更喜欢项目的维护人员来修复安全漏洞，因为无论如何都有很多方法可以泄漏信息。嘿，我还没有发明隐藏这个文件夹的建议！问题是，基本上，为什么要重命名它？所以我只给出一个答案。但不知何故，密码也是保密的，也可能被泄露。。。