Назад | Перейти на главную страницу

Проблема безопасности Wordpress в nginx

Я установил последнюю версию wordpress в Ubuntu 16.04 с nginx. Но после нескольких дней установки я вижу неизвестный файл в корневом каталоге.

лайк alias99.php. Как предотвратить / заблокировать это. Я уже добавил

location ~ /\. {
    deny all;
}

location ~ ^/wp-content/uploads/.*\.php$ {
    deny all;
}

location ~* /(?:uploads|files)/.*\.php$ {
    deny all;
}

в файле conf. Как можно обеспечить уровень безопасности. Спасибо.

Чтобы узнать больше об этом файле:

бегать stat в теме. Есть ли у него ctime только что? Другими словами, действительно ли это было просто положено?
cat файл. Вы можете разместить это в своем вопросе?

Для обеспечения безопасности Wordpress я лично считаю, что веб-приложения должны не уметь писать себе. Другими словами, ваши файлы и, возможно, каталог, в котором они находятся, принадлежат www-data. Да, это удобно для функции автообновления Wordpress, но на самом деле это плохая идея. Тот факт, что Wordpress рекомендует такой подход, находится вне меня.

Вместо этого вам следует изменить владельца unix всех файлов на какого-либо специального пользователя и использовать wp-cli как этот пользователь для обновления Wordpress.

Сказав все это, если это новый Wordpress, и он уже скомпрометирован, возможно, вы имеете дело с чем-то вне Wordpress.