Ubuntu 16.04 に nginx を使って最新バージョンの wordpress をインストールしました。しかし、インストールから数日後、ルート ディレクトリに不明なファイルが表示されます。
のようにalias99.php
。これを防止/ブロックする方法。私はすでに追加しました
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
conf ファイルでセキュリティ レベルを確保するにはどうすればよいでしょうか。ありがとうございます。
答え1
そのファイルについて詳しく知るには:
- 実行して
stat
ください。ctime
今、 がありますか? つまり、本当にそこに置かれたばかりですか? cat
ファイルです。質問に投稿していただけますか?
WordPressのセキュリティについてさらに詳しく言うと、個人的にはウェブアプリはない自分自身に書き込むことができる。言い換えれば、ファイル、そしておそらくそれが配置されているディレクトリは、www-data によって所有される。確かに、Wordpress の自動更新機能には便利だが、実際には悪いアイデアだ。Wordpress がこのアプローチを推奨しているという事実は、私には理解できない。
代わりにすべきことは、すべてのファイルのUNIX所有者を専用のユーザーに変更し、wp-cliそのユーザーとしてWordpressをアップグレードします。
そうは言っても、これが新しい Wordpress であり、すでに侵害されている場合は、Wordpress の外部の問題である可能性があります。