“一键服务端软件安装器” 的安全性

2020-01-17 22:34:56 +08:00
 Stictonotus
最近没事买了个(PHP)虚拟主机,发现虚机控制面板里面有类似于 “一键 PHP 软件安装器” 这样的东西。比如,在界面里面选择 "Wordpress",配置路径和管理员信息,就可以直接安装,数据库、文件什么都是配置好的。
而且这类服务的提供商还不少,我见过的有 softaculous.com / installatron.com 这两家。而且根据 installatron.com 官网,这家提供商还有 16 年历史。

但是在实际安装使用过程中,我发现 wordpress 中被预安装好了几个 plugin (如"访问速度限制"),甚至还有没删干净的名为 admin 的账户。所以开始怀疑这些服务的安全性。

这些软件的安装机制似乎是直接复制数据库和文件,安装步骤中有提到这一点。但是它们的安全性有没有保证?这些软件会不会 “夹带私货”,甚至是在软件里预留后门?

虽然个人觉得都是付费服务,看起来 “挺正规”,而且我也不用,但关于这些服务的安全性我还是很好奇。不知各位 v 友有何看法?
另外不是国内的虚拟主机,我也不觉得阿里云万网这类国内提供商会接入这种东西。
2568 次点击
所在节点    奇思妙想
3 条回复
AX5N
2020-01-18 03:26:47 +08:00
要主张不安全应该提供不安全的证据,否则就是用别怕,怕别用。
ly4572615
2020-01-18 09:32:44 +08:00
我项目的后台人员经常用一键部署,被黑了三次了,php 的 eval 千万记得限制或者关掉
mrlmh00
2020-01-30 19:06:23 +08:00
有没有后门比对一下不就行了吗 wordpress 又不是闭源的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/638864

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX