web-dev-qa-db-ja.com

とのセキュリティ問題 WP サイト

私はちょうどハッキングされている私のWordPressウェブサイトのいくつかに対処しなければなりませんでした。初めて各サイトのcpanelにindex.htmlファイルを置き、私の管理者ユーザを補充しました。私がこれを片付けたと感じたとき、それはもう一度起こりました、しかしそれは私のタイトルタグを "Halaed by Bala Sniper"に変えました、そして各ウェブサイトのフッターからのウィジェットは削除されました。

私のWHMアカウントはWPだけのWebサイトではないので、それがそこからアクセスするハッカーになることはできないことがわかります。

私はこれを何度もグーグルして、id = 1をadminにしない、キャプチャプラグインを他のいくつかのものにしないなどのいくつかの問題を修正しました。

私はこれがもう一度起こるだろうと感じます。誰かが今日または昨日この問題を抱えていたのか、それともこれがバラ狙撃兵のタイトルタグの変更などでハッキングされたのか、問題を解決してセキュリティを強化したのかこれを読む他の誰かの間で。

私が最も心配しているのは、それが私のWHM上のすべてのワードプレスサイトが危険にさらされていたということです。

誰かが助けてくれてありがとう、私はこれをグーグルし、私が無視した多くの問題を修正しました。私のすべてのWPアカウントが影響を受けた理由を知る必要があるだけです。

開発者

1
Dev

wordpress設定ファイルはルートにあります。PHPが何らかの理由でWebサーバ上で機能を停止した場合、このファイルがプレーンテキストで表示される危険があります私たちのパスワードとデータベース情報を訪問者に渡します。あなたは安全に wp-config ディレクトリをルートディレクトリの外へ移動させることができます。 Wordpressには、設定ファイルが見つからない場合に自動的に親ディレクトリをチェックする機能が組み込まれています。

特定のホスト上のこの状況では、オプションではありません。 Apache Webサーバーでの代替方法は、 wp-config ファイルを提供しないように .htaccess を設定することです。ルートディレクトリのur .htaccess fileに次の行を追加します。

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
2
Developer.Sumit

私は述べたいと思いました、これはWP 3.xの初期の日に私に数回起こりました。 GoDaddy共有hsotingなどを使用しています.

私の解決策は、私が自分のHTaccessファイルを(Apacheを使っている場合は)RFI/LFI/SQLインジェクションなどに対してコンパイルしたことです。それから、あなたはCHMOD別名Permissionsをチェックする必要があります、それはまた、FTPまたはfilemanager、あるいはより良いHTACCESS、最後のものの1つを通してそれを行うことができます(例として)そして、使用しているプラ​​グインに関することについてはepxloit-dbやvulndbを参考にしてください。

すべて

これをチェックして、開始時に.htaccessファイルを編集してくださいYOURDOMAIN.COMを見て、それらを変更してください - > 21行目と22行目

https://github.com/dexit/wp-ht-access-se

0
dExIT