Bảo mật Wordpress trên các trang web lưu trữ IIS.


10

Kể từ hôm qua, tôi đã có những điều kỳ lạ xảy ra trên một trong những trang web của tôi.

Index.php của trang wordpress của tôi trên IIS đã thay đổi từ 1 kb thành 80 KB. Ngoài ra map.xml và sitemap.xml là mới trong thư mục. Một số tệp bổ sung cũng được tìm thấy trong wp-content / Themes hoặc wp-content / bao gồm folers. Giống như b.php hoặc e.asp.

Trong nhật ký tôi có thể tìm thấy một mục đang hiển thị quá trình tôi nghĩ. POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 hoặc POST /wp-content/theme/koppers12/l Library / e.asp | 26 | 800a0408 | Unlimited_character 80

Điều này có lẽ phải làm với thực tế là các cài đặt bảo mật của tôi có thể được thắt chặt hơn, tuy nhiên tôi không thể tìm ra cách thắt chặt bảo mật mà hãy để cơ chế cập nhật cho chính wordpress, các chủ đề và plugin.

Hiện tại các quyền (iusr) được thiết lập để đọc ghi cho toàn bộ trang web. Nếu tôi thay đổi thành chỉ đọc, toàn bộ cơ chế cập nhật không thành công do ít quyền hơn

Có một số cách để ngăn chặn việc tiêm các tệp không mong muốn trên trang web nhưng cũng có thể cập nhật wordpress, chủ đề và plugin?

Có thể tiêm được sử dụng là một khai thác của một số plugin, hoặc là do các quyền mà trang web được tiêm với các tệp không mong muốn?

(Tôi đã chặn các địa chỉ ip gây ra điều này, nhưng điều đó không giúp ích nhiều vì phương pháp tiêm này đã được nhìn thấy trên các địa chỉ / phạm vi ip khác.)


Câu trả lời:


10

Tôi đã làm theo hướng dẫn này hoạt động tốt

https://codex.wordpress.org/Hardening_WordPress

Cần lưu ý một số điều, nếu bạn cho phép nhiều người dùng tải nội dung lên trang web của mình, hãy tạo bài viết của riêng họ, họ không chỉ có một tài khoản đặc quyền đặc biệt trong WordPress mà còn là tài khoản người dùng ftp chính tả trên hộp. Người dùng đó không nên có bất kỳ quyền đăng nhập.

Nếu chỉ có một người dùng thực hiện thay đổi, hãy thiết lập auth cơ bản với tài khoản windows cục bộ. Khi bạn nhấn vào liên kết để thêm phương tiện hoặc thực hiện thay đổi, bạn sẽ được nhắc nhập tên người dùng và mật khẩu.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.