問題描述
我已經看到一個網站被上傳到 WordPress 的 wp-content /uploads 目錄的 PHP 腳本 (大概是某種 shell 或加載一個 shell 的代碼) 被攻擊。通常,此目錄用於用户上傳的內容 (如照片等) 。此特定服務器已配置為運行 Internet 上任何用户的惡意腳本 (知道正確的 URL) 。
這個怎麼用?破解者如何獲取 wordpress 將 php 文件放在 uploads 目錄中,沒有用户帳户?我這個只是臭名昭着的,有啓發性的 「是的,wordpress 不安全」 的問題?
最佳解決方案
我不會説這個問題的根本原因是 Wordpress,而是事實:
-
WordPress 有很多主題/插件可供第三方開發人員使用,人們通常在安裝之前不會進行審核。由於 PHP 的入門級非常低,許多第三方開發人員沒有/不良的 IT 安全知識
我認為最可能的情況之一是 Wordpress 設置配置了允許匿名上傳的插件/主題。一個例子是 Clockstone Theme upload.php Arbitrary File Upload Vulnerability 。
基本上,你
-
需要確保不允許未經授權/匿名上傳
-
將上傳的文件移出 Web 根目錄
-
驗證內容,以確保只有您希望上傳並保存
OWASP 網站上的 Unrestricted File Upload 上的頁面對此主題有一些非常好的解釋。
次佳解決方案
我同意插件和主題可能有問題,但是想要添加三個有關使用插件的建議:
-
您應該確保您正在運行最新版本的 WordPress 和插件。
-
通過你的插件,刪除你真正不需要的任何東西。儘可能嘗試使用代碼替換插件。
-
更加挑剔的是下載插件 (誰製作它,何時以及更新的頻率) 。
第三方開發人員雖然也許最初缺少安全問題,但是提供更新來解決安全問題,但部分責任也在於 WP 用户。我忽略了更新,因為他們在短期內為我做了更多的工作,但從長遠來看,出現了很多問題。
這是我們聘請的顧問的建議,幫助我們的.php 文件被黑客攻擊後保護我們的網站。
參考文獻
注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。