Security Wordpress บน IIS โฮสต์เว็บไซต์


10

ตั้งแต่เมื่อวานฉันมีสิ่งประหลาดเกิดขึ้นในเว็บไซต์ของฉัน

index.php ของไซต์ wordpress ของฉันบน IIS เปลี่ยนจาก 1 kb เป็น 80 KB map.xml และ sitemap.xml เช่นกันเป็นสิ่งใหม่ในไดเรกทอรี พบไฟล์เพิ่มเติมบางไฟล์ใน wp-content / themes หรือ wp-content / include folers เช่น b.php หรือ e.asp

ในบันทึกฉันสามารถค้นหารายการที่แสดงกระบวนการที่ฉันคิด POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 หรือ POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80

นี่อาจเกี่ยวข้องกับความจริงที่ว่าการตั้งค่าความปลอดภัยของฉันอาจจะกระชับน้อยลง แต่ฉันไม่สามารถหาวิธีที่จะกระชับความปลอดภัย แต่ให้กลไกการอัปเดตสำหรับ wordpress ตัวเองธีมและปลั๊กอินทำงาน

ขณะนี้สิทธิ์ (iusr) ถูกตั้งค่าเป็นอ่านเขียนสำหรับทั้งเว็บไซต์ ถ้าฉันเปลี่ยนเป็นอ่านอย่างเดียวกลไกการอัพเดตทั้งหมดจะล้มเหลวเนื่องจากสิทธิ์น้อยลง

มีวิธีป้องกันการฉีดไฟล์ที่ไม่ต้องการในเว็บไซต์ แต่ยังสามารถอัพเดท wordpress, ธีมและปลั๊กอินได้หรือไม่?

อาจใช้การฉีดเป็นช่องโหว่ของปลั๊กอินบางตัวหรือว่าเป็นเพราะสิทธิ์ของไซต์ที่ถูกฉีดด้วยไฟล์ที่ไม่ต้องการ

(Ive บล็อกที่อยู่ ip ซึ่งทำให้เกิดสิ่งนี้ แต่ไม่ได้ช่วยอะไรมากเท่าที่วิธีการฉีดนี้ได้รับการเห็นแล้วในที่อยู่ IP / ช่วงอื่น ๆ )


คำตอบ:


10

ฉันทำตามคำแนะนำนี้ซึ่งใช้งานได้ดี

https://codex.wordpress.org/Hardening_WordPress

สิ่งที่ควรคำนึงถึงถ้าคุณให้ผู้ใช้หลายคนอัปโหลดเนื้อหาไปยังเว็บไซต์ของคุณสร้างบทความของพวกเขาเองพวกเขาควรมีบัญชีเอกสิทธิ์พิเศษใน WordPress แต่บัญชีผู้ใช้ ftp ที่กำหนดไว้ในกล่อง ผู้ใช้รายนั้นไม่ควรมีสิทธิ์ในการเข้าสู่ระบบ

หากเป็นเพียงผู้ใช้คนเดียวที่ทำการเปลี่ยนแปลงการตั้งค่าการตรวจสอบขั้นต้นด้วยบัญชี windows ท้องถิ่น เมื่อคุณกดลิงค์เพื่อเพิ่มสื่อหรือทำการเปลี่ยนแปลงคุณจะได้รับแจ้งชื่อผู้ใช้และรหัสผ่าน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.