问题描述

我已经看到一个网站被上传到 WordPress 的 wp-content /uploads 目录的 PHP 脚本 (大概是某种 shell 或加载一个 shell 的代码) 被攻击。通常,此目录用于用户上传的内容 (如照片等) 。此特定服务器已配置为运行 Internet 上任何用户的恶意脚本 (知道正确的 URL) 。

这个怎么用?破解者如何获取 wordpress 将 php 文件放在 uploads 目录中,没有用户帐户?我这个只是臭名昭着的,有启发性的 「是的,wordpress 不安全」 的问题?

最佳解决方案

我不会说这个问题的根本原因是 Wordpress,而是事实:

  • WordPress 有很多主题/插件可供第三方开发人员使用,人们通常在安装之前不会进行审核。由于 PHP 的入门级非常低,许多第三方开发人员没有/不良的 IT 安全知识

我认为最可能的情况之一是 Wordpress 设置配置了允许匿名上传的插件/主题。一个例子是 Clockstone Theme upload.php Arbitrary File Upload Vulnerability

基本上,你

  1. 需要确保不允许未经授权/匿名上传

  2. 将上传的文件移出 Web 根目录

  3. 验证内容,以确保只有您希望上传并保存

OWASP 网站上的 Unrestricted File Upload 上的页面对此主题有一些非常好的解释。

次佳解决方案

我同意插件和主题可能有问题,但是想要添加三个有关使用插件的建议:

  1. 您应该确保您正在运行最新版本的 WordPress 和插件。

  2. 通过你的插件,删除你真正不需要的任何东西。尽可能尝试使用代码替换插件。

  3. 更加挑剔的是下载插件 (谁制作它,何时以及更新的频率) 。

第三方开发人员虽然也许最初缺少安全问题,但是提供更新来解决安全问题,但部分责任也在于 WP 用户。我忽略了更新,因为他们在短期内为我做了更多的工作,但从长远来看,出现了很多问题。

这是我们聘请的顾问的建议,帮助我们的.php 文件被黑客攻击后保护我们的网站。

参考文献

注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。