Instalé la última versión de WordPress en Ubuntu 16.04 con nginx. Pero después de algunos días de instalación veo un archivo desconocido en el directorio raíz.
como alias99.php
. Cómo prevenir/bloquear esto. ya agregué
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
en el archivo de configuración. ¿Cómo se puede garantizar el nivel de seguridad? Gracias.
Respuesta1
Para obtener más información sobre ese archivo:
- corre
stat
sobre ello. ¿Tiene unctime
de ahora? En otras palabras, ¿fue realmente puesto ahí? cat
el archivo. ¿Puedes publicarlo en tu pregunta?
Para continuar con la seguridad de Wordpress, personalmente creo que las aplicaciones web deberíannopoder escribirse a sí mismo. En otras palabras, sus archivos, y probablemente el directorio donde se encuentran, son propiedad de www-data. Sí, es conveniente para la función de actualización automática de Wordpress, pero en realidad es una mala idea. El hecho de que Wordpress recomiende este enfoque me supera.
Lo que deberías hacer en su lugar es cambiar el propietario Unix de todos los archivos a algún usuario dedicado y usarwp-clicomo ese usuario para actualizar Wordpress.
Dicho todo esto, si se trata de un Wordpress nuevo y ya está comprometido, es posible que esté tratando con algo externo a Wordpress.