Security issues with WP sites

时间:2016-03-08 作者:Dev

我刚刚不得不处理我的一些WordPress网站被黑客攻击的问题。第一次放置索引。html文件,并补充了我的管理员用户。一旦我觉得我清理了这个,它再次发生,但它改变了我的标题标签为“被巴拉狙击手黑客”,并从每个网站的页脚小部件被删除。

我的WHM帐户不是仅限WP的网站,所以我知道它不可能是黑客从那里访问的。

我已经在google上搜索了很多次,并纠正了一些问题,例如没有将id=1设置为admin、captcha插件等。

我觉得这会再次发生。我在这里是想问一下,今天或昨天是否有人遇到过这个问题,或者你是否曾经被巴拉狙击手的头衔标签更改等黑客攻击过。如果你解决了这个问题并加强了安全措施,希望能帮助我和其他读到这篇文章的人一起解决这个问题。

最让我担心的是,我的WHM上的每一个wordpress网站都遭到了破坏,我没有发现任何一个网站都有类似的地方。

感谢所有人的帮助,我已经在谷歌上搜索了这一点,并纠正了许多我忽视的问题,只需要知道为什么我所有的WP帐户都受到影响。

开发人员

2 个回复
SO网友:Developer.Sumit

wordpress配置文件位于根目录中。如果PHP因任何原因停止在Web服务器上运行。我们冒着此文件以明文显示的风险,这将向访问者提供密码和数据库信息。您可以安全移动wp-config 根目录外的目录。如果意外送达,此操作将停止。Wordpress具有内置功能,如果找不到配置文件,它会自动检查父目录。

在某些主机上的这种情况下,不是选项。Apache web服务器上的另一种选择是设置.htaccess 不提供wp-config 文件将以下行添加到ur.htaccess 根目录中的文件。

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

SO网友:dExIT

我想说的是,这在早期的WP 3中发生过几次。x天。Am使用GoDaddy共享hsoting等。

在我的解决方案中,我针对RFI/LFI/SQL注入等编译了自己的HTaccess文件(如果ur使用Apache),这些都是非常基本的注入,禁用了base64的使用、伪造图像黑客、指纹等。然后你需要检查你的CHMOD aka权限,你也可以通过FTP或filemanager,或者更好的HTACCESS来做到这一点,这是最后一件事,实际上是强化你的WP,这不是一件容易的任务,停止依赖于Revolution Slider(仅举个例子),并在epxloit db或vulndb上对你使用的插件进行修改。

全部的

签出此项,然后编辑。htaccess文件在开始时将显示您的域。COM并更改它们->第21行和第22行

https://github.com/dexit/wp-ht-access-se

标签: plugins   security   hacks   hacked   小码农  

相关推荐

Need Old Version of plugins

我错误地更新了插件。它扰乱了网站的设计。如何还原插件的旧版本?我如何确定我以前使用的是哪个版本?非常感谢。