Est-ce que quelqu'un (support de mon fournisseur de thème) peut accéder à mon serveur si je leur envoie mon login administrateur?
J'ai acheté un thème WP auprès d'un grand fournisseur (themeforest). Mais il a beaucoup de bugs. Le support m'a demandé d'envoyer mon WP _ nom d'utilisateur/mot de passe administrateur. Quel risque cela at-il?
Je sais que le personnel de support aura un accès complet à l’installation WP, avec les informations d’authentification WP. c'est ok pour moi.
Mais qu'en est-il du serveur sur lequel ces instances sont exécutées? Y at-il des changements qu'ils auraient théoriquement accès au serveur? C'est un non-non. Comme le serveur héberge beaucoup de choses confidentielles.
Mon estimation: Très probablement oui, ils pourraient avoir accès? (Autant que je sache, ils pourraient entrer du code php dans l'éditeur de code wp qui ouvre un shell ou lit certains fichiers dans le système?) Ou ai-je tort?
merci!
Si vous donnez au fournisseur l’administrateur complet, il peut techniquement faire sur votre serveur tout ce que PHP pourrait faire (en utilisant la partie éditeur d’un thème donné pour ajouter les commandes qu’il souhaite). PHP est capable d'exécuter des scripts de ligne de commande, pour ne nommer qu'une seule autorisation effrayante dont ils hériteraient.
Selon l’utilisateur (sur le serveur, pas dans votre installation WordPress), vous avez des scripts de page en cours d’exécution, qui pourraient constituer un contrôle total ou simplement le contrôle de certaines parties Web de votre serveur. De toute façon, ce ne serait pas anodin.
Je ne vois rien au-delà de l'éditeur de thèmes qui mettrait votre serveur en danger, mais s'ils fournissaient le thème, je penserais qu'ils auraient besoin d'un accès à cela pour pouvoir faire beaucoup, de sorte que je ne sache pas qu'il existe un bonne option pour garder votre serveur en sécurité et leur donner ce qu’ils vous demandent.
en théorie, ils peuvent faire beaucoup de choses sur votre site.
Comme indiqué, je verrais quelles autorisations ils ont besoin, puis je créerais un utilisateur basé sur celles-ci.
Si l'utilisateur a beaucoup de ventes, de thèmes et un bon membre général du réseau, je ne m'en inquiéterais pas trop, car beaucoup de fournisseurs ou de producteurs de contenu corrigent des bugs comme celui-ci sur Themeforest.