問題描述
我已經看到一個網站被上傳到 WordPress 的 wp-content /uploads 目錄的 PHP 指令碼 (大概是某種 shell 或載入一個 shell 的程式碼) 被攻擊。通常,此目錄用於使用者上傳的內容 (如照片等) 。此特定伺服器已配置為執行 Internet 上任何使用者的惡意指令碼 (知道正確的 URL) 。
這個怎麼用?破解者如何獲取 wordpress 將 php 檔案放在 uploads 目錄中,沒有使用者帳戶?我這個只是臭名昭著的,有啟發性的 「是的,wordpress 不安全」 的問題?
最佳解決方案
我不會說這個問題的根本原因是 Wordpress,而是事實:
-
WordPress 有很多主題/外掛可供第三方開發人員使用,人們通常在安裝之前不會進行稽核。由於 PHP 的入門級非常低,許多第三方開發人員沒有/不良的 IT 安全知識
我認為最可能的情況之一是 Wordpress 設定配置了允許匿名上傳的外掛/主題。一個例子是 Clockstone Theme upload.php Arbitrary File Upload Vulnerability 。
基本上,你
-
需要確保不允許未經授權/匿名上傳
-
將上傳的檔案移出 Web 根目錄
-
驗證內容,以確保只有您希望上傳並儲存
OWASP 網站上的 Unrestricted File Upload 上的頁面對此主題有一些非常好的解釋。
次佳解決方案
我同意外掛和主題可能有問題,但是想要新增三個有關使用外掛的建議:
-
您應該確保您正在執行最新版本的 WordPress 和外掛。
-
透過你的外掛,刪除你真正不需要的任何東西。儘可能嘗試使用程式碼替換外掛。
-
更加挑剔的是下載外掛 (誰製作它,何時以及更新的頻率) 。
第三方開發人員雖然也許最初缺少安全問題,但是提供更新來解決安全問題,但部分責任也在於 WP 使用者。我忽略了更新,因為他們在短期內為我做了更多的工作,但從長遠來看,出現了很多問題。
這是我們聘請的顧問的建議,幫助我們的.php 檔案被駭客攻擊後保護我們的網站。
參考文獻
注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。