Я установил последнюю версию wordpress в Ubuntu 16.04 с nginx. Но после нескольких дней установки я вижу какой-то неизвестный файл в корневом каталоге.
нравится alias99.php
. Как предотвратить/заблокировать это. Я уже добавляю
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
в файле conf. Как можно обеспечить уровень безопасности. Спасибо.
решение1
Чтобы узнать больше об этом файле:
- запустить
stat
на нем. Имеет ли онctime
только что? Другими словами, действительно ли он был просто помещен туда? cat
файл. Можете ли вы разместить его в своем вопросе?
Продолжая тему безопасности Wordpress, я лично считаю, что веб-приложения должнынетиметь возможность писать в себя. Другими словами, ваши файлы, и, вероятно, каталог, в котором они расположены, принадлежат www-data. Да, это удобно для функции автообновления Wordpress, но на самом деле это просто плохая идея. Тот факт, что Wordpress рекомендует такой подход, выше моего понимания.
Что вам следует сделать вместо этого, изменить владельца всех файлов unix на какого-то выделенного пользователя и использоватьwp-cliкак этот пользователь для обновления Wordpress.
Учитывая все вышесказанное, если это новый Wordpress и он уже скомпрометирован, вы можете иметь дело с чем-то за пределами Wordpress.