Lt *_*Lev 10 iis permissions hacking wordpress
从昨天开始,我的一个网站上发生了奇怪的事情。
我在 IIS 上的 wordpress 站点的 index.php 从 1 kb 更改为 80 KB。map.xml 和 sitemap.xml 也是目录中的新内容。在 wp-content/themes 或 wp-content/includes 文件夹中还可以找到一些其他文件。像 b.php 或 e.asp。
在日志中,我可以找到一个显示我认为的过程的条目。POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 或 POST /wp-content/themes/koppers12/library/e.asp |26|800a0408|Invalid_character 80
这可能与我的安全设置可能不太严格的事实有关,但是我无法弄清楚如何加强安全性,但让 wordpress 本身、主题和插件的更新机制起作用。
目前,整个网站的权限 (iusr) 设置为读写。如果我将其更改为只读,则由于权限较少,整个更新机制失败
有什么方法可以防止在网站上注入不需要的文件,同时还能更新 wordpress、主题和插件?
所使用的注入可能是对某些插件的利用,还是由于该站点的权限而注入了不需要的文件?
(我已经阻止了导致这种情况的 ip 地址,但这并没有多大帮助,因为这种注入方法已经在其他 ip 地址/范围上看到过。)
Ant*_*ito 10
我遵循了本指南,效果很好
https://codex.wordpress.org/Hardening_WordPress
需要记住的几件事,如果您让多个用户将内容上传到您的网站,请制作自己的文章,他们不仅应该在 WordPress 中拥有一个特殊的特权帐户,而且还应该在盒子上拥有一个指定的 ftp 用户帐户。该用户不应该有任何登录权限。
如果只有一个用户使用本地 Windows 帐户进行更改设置基本身份验证。当您点击链接添加媒体或进行更改时,系统将提示您输入用户名和密码。
| 归档时间: |
|
| 查看次数: |
1305 次 |
| 最近记录: |