Instalei a versão mais recente do wordpress no Ubuntu 16.04 com nginx. Mas depois de alguns dias de instalação vejo algum arquivo desconhecido no diretório raiz.
como alias99.php
. Como prevenir/bloquear isso. eu já adiciono
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
no arquivo conf. Como pode garantir o nível de segurança. Obrigado.
Responder1
Para saber mais sobre esse arquivo:
- corra
stat
nele. Tem umctime
de agora? Em outras palavras, foi realmente colocado lá? cat
o arquivo. Você pode postá-lo em sua pergunta?
Para continuar com a segurança do Wordpress, pessoalmente sinto que os webapps deveriamnãoser capaz de escrever para si mesmo. Em outras palavras, seus arquivos, e provavelmente o diretório em que estão localizados, são de propriedade de www-data. Sim, é conveniente para o recurso de atualização automática do Wordpress, mas na verdade é apenas uma má ideia. O fato de o Wordpress recomendar essa abordagem está além da minha compreensão.
O que você deveria fazer em vez disso, mudar o proprietário unix de todos os arquivos para algum usuário dedicado e usarwp-clicomo esse usuário para atualizar o Wordpress.
Dito tudo isso, se este for um novo Wordpress e já estiver comprometido, você pode estar lidando com algo fora do Wordpress.