Phpコードジェット攻撃に対する2つのワールドプレスセキュリティプランの評価

セナリオ：

前にSOにWordPressのPHPコードインジェクションのシナリオを投稿しました。 https://stackoverflow.com/questions/26826082/what-is-the-highly phpファイルの文字列パターンのブロックを効率的に削除する方法

私はそれが私が言及した時間のかかる方法を使用するようにすべてのphpファイルからすべてのインジェクションパターンを削除するまで、それがプラグインクラッシュ、またはlogin/wp-adminを引き起こすことができない原因となります。上記の記事、しかし今までのところ、私はこの欠陥が攻撃者がワードプレスでそのようなコードを注入するためのものであるかどうかわからない。

それにもかかわらず、定期的にきれいなファイルのバックアップのほかに調べた後。私は注射を避けるためにワードプレスのセキュリティ計画を下回っています：

解決策1。ワードプレスの更新計画

        meaning always check out updates wordpress to latest version
        always check out updates making sure plugins to latest version.

解決策2。ワードプレス[php、通常のファイル、フォルダ]の厳密なファイル/フォルダ許可設定

        never allow php file updates on production site, 
        Apache chmod set 
        all wordpress *.php files to chmod 644; 
        all normal files  *.js *.css *.html etc to 755; 
        wp-upload folder set chmod to 755
        rest wordpress folder set chmod to 644; 

これら二つのアプローチのために、

解決策1：（最新のパッチを当てにした最新バージョンへの更新に焦点を当てると、ワードプレス/プラグインがインストールされているときにchmodをデフォルトの許可として残す一方で、脆弱性が修正されます。）

実際には非常に手間がかかるので、世話をするための更新が非常に多くあり、cetainプラグインの更新がwordpressバージョンとの互換性の問題を引き起こすかどうかはわかりません。私のSO投稿にインジェクションを防ぐためのすべてをカバーできるとは思わない。さらに、サイトがすでにインジェクトされていて、更新プロセスを実行する前に信頼できなかった場合、以前に何度も経験したことがあるので、通常プラグインがクラッシュします。しかし、更新計画はワードプレスのセキュリティを強化するための最も一般的な方法ですが、更新中は人による監視とメンテナンスが必要です。

解決策2：（ファイル変更を許可しないようにchmod権限をカスタマイズすることに焦点を当てる）これはwordpressのchmod設定に関するcodexの参照リンクです： http://codex.wordpress.org/Changing_File_Permissions

合理的に見えますが、chmodの過剰保護が機能しているプラ​​グインなどとの互換性がないかどうかをテストする必要があります。特定のプラグインでは機能するために安全でないアクセス許可が必要です。また、権限の設定に従って本番サイトにほとんど変更を加えることができないことを意味します。

それで、このアプローチはWordpressのphpファイルがインジェクトされないようにすることをお勧めします。上記の2つの解決策についてのコメント。

それとも、そのような種類のコードインジェクションと戦うためのより良い計画はありますか？

（人間によるモニタリングの関与が少ない解決策が好ましい。）