问题描述
我已经看到一个网站被上传到 WordPress 的 wp-content /uploads 目录的 PHP 脚本 (大概是某种 shell 或加载一个 shell 的代码) 被攻击。通常,此目录用于用户上传的内容 (如照片等) 。此特定服务器已配置为运行 Internet 上任何用户的恶意脚本 (知道正确的 URL) 。
这个怎么用?破解者如何获取 wordpress 将 php 文件放在 uploads 目录中,没有用户帐户?我这个只是臭名昭着的,有启发性的 “是的,wordpress 不安全” 的问题?
最佳解决方案
我不会说这个问题的根本原因是 WordPress,而是事实:
-
WordPress 有很多主题/插件可供第三方开发人员使用,人们通常在安装之前不会进行审核。由于 PHP 的入门级非常低,许多第三方开发人员没有/不良的 IT 安全知识
我认为最可能的情况之一是 WordPress 设置配置了允许匿名上传的插件/主题。一个例子是 Clockstone Theme upload.php Arbitrary File Upload Vulnerability 。
基本上,你
-
需要确保不允许未经授权/匿名上传
-
将上传的文件移出 Web 根目录
-
验证内容,以确保只有您希望上传并保存
OWASP 网站上的 Unrestricted File Upload 上的页面对此主题有一些非常好的解释。
次佳解决方案
我同意插件和主题可能有问题,但是想要添加三个有关使用插件的建议:
-
您应该确保您正在运行最新版本的 WordPress 和插件。
-
通过你的插件,删除你真正不需要的任何东西。尽可能尝试使用代码替换插件。
-
更加挑剔的是下载插件 (谁制作它,何时以及更新的频率) 。
第三方开发人员虽然也许最初缺少安全问题,但是提供更新来解决安全问题,但部分责任也在于 WP 用户。我忽略了更新,因为他们在短期内为我做了更多的工作,但从长远来看,出现了很多问题。
这是我们聘请的顾问的建议,帮助我们的.php 文件被黑客攻击后保护我们的网站。
参考文献
注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。