クラッカーはどのようにphpスクリプトをWordpressのwp-contentディレクトリにアップロードしますか?
PHPスクリプト(おそらく何らかのシェル、またはシェルをロードするコード)をWordpressのwp-content/uploadsディレクトリにアップロードすることによって攻撃されたサイトを見たことがあります。通常、このディレクトリは、写真などのユーザーがアップロードしたコンテンツに使用されます。この特定のサーバーは、インターネット上のユーザーに対して悪意のあるスクリプトを実行するように構成されました(正しいURLを知っている必要があります)。
これはどのように作動しますか?クラッカーはどのようにしてwordpressを取得して、ユーザーアカウントなしでアップロードディレクトリにphpファイルを配置しますか?これは悪名高い、不特定の「ええ、wordpress is is安全ではない」タイプの問題?
問題の根本的な原因はWordpressであるとは言えませんが、むしろ次の事実があります。
- Wordpressのテーマ/プラグインは非常に多くあり、サードパーティの開発者から入手可能であり、人々は通常、インストールする前にそれらを監査しません。PHP =非常に低い。これらのサードパーティ開発者の多くは、ITセキュリティに関する知識がないか、不十分である
最も可能性の高いシナリオの1つは、Wordpressセットアップが匿名アップロードを許可するプラグイン/テーマで構成されている場合です。1つの例は Clockstone Theme upload.php任意のファイルのアップロードです。脆弱性 。
基本的に、あなた
- 無許可/匿名のアップロードが許可されていないことを確認する必要があります
- アップロードされたファイルをWebルートディレクトリから移動する
- コンテンツを確認して、期待どおりのものだけがアップロードおよび保存されることを確認します
OWASP Webサイトの nrestricted File Upload のページに、この件に関する非常に良い説明があります。
プラグインとテーマに問題がある可能性があることに同意しますが、プラグインの使用に関連する3つの提案を追加したいと思います。
- WordPress [〜#〜] and [〜#〜]プラグインの最新バージョンを実行していることを確認してください。
- プラグインを確認し、本当に必要のないものはすべて削除してください。可能な限り、プラグインをコードに置き換えてみてください。
- プラグインのダウンロード(だれが作成したか、いつ、どのくらいの頻度で更新されるか)についてより慎重に。
サードパーティの開発者は、最初はセキュリティの問題を見落としている可能性がありますが、セキュリティの問題をカバーするアップデートを提供しています-ただし、責任の一部はWPユーザーにあります。私がより多くの作業を行ったため、アップデートを無視しました短期的には、長期的には多くの問題を引き起こしました。
これは、.phpファイルがハッキングされた後にWebサイトを保護するために採用したコンサルタントからのアドバイスです。
テキストエディタで空のファイルを作成します。それを.htaccessと呼び、そこに次のコードを貼り付けます。
<Files *.php>
deny from all
</Files>
このファイルを/ wp-content/uploads /フォルダーにアップロードします。
コードの説明:このコードは、PHPファイルがあるかどうかを確認し、そのファイルへのアクセスを拒否します。