Ich habe die neueste Version von WordPress in Ubuntu 16.04 mit nginx installiert. Aber nach einigen Tagen der Installation sehe ich eine unbekannte Datei im Stammverzeichnis.
wie alias99.php
. Wie kann man das verhindern/blockieren. Ich habe bereits hinzugefügt
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
in der Conf-Datei. Wie kann das Sicherheitsniveau gewährleistet werden? Danke.
Antwort1
So erfahren Sie mehr über diese Datei:
stat
darauf laufen . Hat es einctime
„von gerade eben“? Mit anderen Worten, wurde es wirklich gerade dort hingestellt?cat
die Datei. Können Sie sie in Ihrer Frage posten?
Um weiter auf die Sicherheit von Wordpress einzugehen, bin ich persönlich der Meinung, dass Webanwendungennichtin der Lage sein, in sich selbst zu schreiben. Mit anderen Worten, Ihre Dateien und wahrscheinlich auch das Verzeichnis, in dem sie sich befinden, gehören www-data. Ja, das ist praktisch für die automatische Update-Funktion von Wordpress, aber eigentlich ist es einfach eine schlechte Idee. Dass Wordpress diesen Ansatz empfiehlt, ist mir schleierhaft.
Was Sie stattdessen tun sollten, ist, den Unix-Besitzer aller Dateien in einen dedizierten Benutzer zu ändern undwp-clials dieser Benutzer, um Wordpress zu aktualisieren.
Wenn es sich jedoch um ein neues Wordpress handelt und dieses bereits kompromittiert ist, kann es sein, dass es sich um etwas außerhalb von Wordpress handelt.