nginx를 사용하여 Ubuntu 16.04에 WordPress 최신 버전을 설치했습니다. 그러나 설치 후 며칠 후에 루트 디렉터리에 알 수 없는 파일이 발견되었습니다.
좋다 alias99.php. 이를 방지/차단하는 방법. 나는 이미 추가했다
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
conf 파일에서. 보안 수준을 어떻게 보장할 수 있나요? 감사합니다.
답변1
해당 파일에 대해 자세히 알아보려면 다음을 수행하세요.
stat그것에 달려라 .ctime지금은 of가 있나요 ? 즉, 정말 그냥 거기에 두었을까요?cat파일. 질문에 게시할 수 있나요?
Wordpress의 보안을 계속 유지하려면 개인적으로 웹앱이 다음과 같아야 한다고 생각합니다.~ 아니다자기 자신에게 쓸 수 있다. 즉, 귀하의 파일과 해당 파일이 있는 디렉토리는 www-data의 소유입니다. 예, Wordpress의 자동 업데이트 기능이 있으면 편리하지만 실제로는 나쁜 생각입니다. Wordpress가 이 접근 방식을 권장한다는 사실은 제 능력을 넘어서는 것입니다.
대신해야 할 일은 모든 파일의 유닉스 소유자를 일부 전용 사용자로 변경하고 사용하는 것입니다.wp-cli해당 사용자로 Wordpress를 업그레이드하세요.
이 모든 것을 말했지만 이것이 새로운 Wordpress이고 이미 손상되었다면 Wordpress 외부의 무언가를 다루고 있을 수 있습니다.