我怎样才能拍下WordPress网站的当前状态的“快照”,然后授予自由职业者管理员权限,最后检查他们是否只更改了雇佣来修复的文件?(没有隐藏在其他地方的后门代码)
我考虑过git repo,但它位于安装目录中。所以从理论上讲,它是可以篡改的。我想我可以有一个远程git克隆并进行测试。不确定是否还有其他方法。。。?
我如何在与自由职业者合作之前/之后验证整个可湿性粉剂目录?
1 个回复
SO网友:Tom J Nowell
通过使用版本控制和读取历史记录。
将所有内容添加到git存储库,并让自由职业者通过git. 不允许他们使用内置的WP编辑文件屏幕,使用使用现代流,使用诸如GitHub/BitBucket/等服务或专用git存储库。
如果自由职业者添加了后门怎么办
它将显示在git历史记录中,唯一可以确保的方法是通过读取更改进行检查。但如果你对自由职业者如此不信任,也许你应该另找一个?听起来你的业务关系已经很紧张了如果自由职业者篡改Git哈希不是随机的,Git中有很多加密数据完整性检查和科学,那该怎么办。以这种方式篡改历史很容易被发现,也很难成功
甚至还有一个命令叫做git fsck 这将检查git repos对象数据库的连接。
如果我不信任他们中的任何一个呢
将其与他们访问并读取差异之前进行的备份进行比较。结束