我在 Ubuntu 16.04 中使用 nginx 安裝了 WordPress 最新版本。但安裝幾天后,我在根目錄中看到一些未知檔案。
喜歡alias99.php。如何防止/阻止這種情況。我已經添加了
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
在conf檔案中。如何保證安全等級。謝謝。
答案1
要了解有關該文件的更多資訊:
- 運行
stat它。ctime剛才有 a嗎?換句話說,它真的只是放在那裡嗎? cat文件。您可以將其發佈在您的問題中嗎?
為了繼續保證 WordPress 的安全性,我個人認為 webapps 應該不是能夠寫信給自己。換句話說,您的文件及其所在的目錄可能由 www-data 擁有。是的,這對於 Wordpress 的自動更新功能來說很方便,但這確實是一個壞主意。 WordPress 推薦這種方法的事實超出了我的範圍。
相反,您應該做什麼,將所有文件的 UNIX 所有者更改為某個專用用戶,然後使用wp-cli作為該用戶升級 Wordpress。
說了這麼多,如果這是一個新的 Wordpress 並且它已經受到損害,那麼您可能正在處理 Wordpress 之外的東西。