IIS होस्ट की गई साइटों पर सुरक्षा Wordpress।


10

कल से मुझे, मेरी एक वेबसाइट पर अजीब चीजें हो रही हैं।

IIS पर मेरी WordPress साइट का index.php 1 kb से 80 KB तक बदल गया। इसके अलावा map.xml और sitemap.xml निर्देशिका में नए हैं। कुछ अतिरिक्त फाइलें wp-content / themes या wp-content / भी शामिल हैं जिनमें फोलर शामिल हैं। जैसे b.php या e.asp।

लॉग में मुझे एक प्रविष्टि मिल सकती है जो मेरे विचार से प्रक्रिया को दिखा रही है। POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 या POST /wp-content/themes/koppers12/library/e.asp। 26। 800a0408 | अमान्य_चैकर 80

यह शायद इस तथ्य के साथ करना है कि मेरी सुरक्षा सेटिंग्स को कम से कम कड़ा किया जा सकता है, हालांकि मैं यह पता लगाने में असमर्थ हूं कि सुरक्षा को कैसे कड़ा किया जाए, लेकिन वर्डप्रेस के लिए अपडेट तंत्र को स्वयं, थीम और प्लगइन्स काम करते हैं।

वर्तमान में पूरी वेबसाइट के लिए राइट्स (iusr) राइट टू रीड लिखा जाता है। यदि मैं इसे केवल पढ़ने के लिए बदलता हूं, तो कम अधिकारों के कारण संपूर्ण अद्यतन तंत्र विफल हो जाता है

क्या वेबसाइट पर अवांछित फ़ाइलों के इंजेक्शन को रोकने का कोई तरीका है, लेकिन यह भी वर्डप्रेस, थीम और प्लगइन्स को अपडेट करने में सक्षम है?

हो सकता है कि इंजेक्शन का इस्तेमाल कुछ प्लगइन का शोषण हो, या यह है कि अधिकारों के कारण साइट अवांछित फ़ाइलों के साथ इंजेक्ट हो जाती है?

(Ive ने आईपी ऐड्रेस को अवरुद्ध कर दिया, जिसके कारण ऐसा हुआ, लेकिन यह इंजेक्शन विधि को बहुत मदद नहीं करता है क्योंकि यह पहले से ही अन्य आईपी एड्रेस / रेंज पर देखा जा चुका है।)


जवाबों:


10

मैंने इस गाइड का अनुसरण किया जो अच्छी तरह से काम करता है

https://codex.wordpress.org/Hardening_WordPress

कुछ बातों को ध्यान में रखें, यदि आप कई उपयोगकर्ताओं को अपनी साइट पर सामग्री अपलोड करने दे रहे हैं, तो अपने स्वयं के लेख बनाएं उनके पास न केवल वर्डप्रेस में एक विशेष विशेषाधिकार खाता होना चाहिए, बल्कि बॉक्स पर एक तानाशाह ftp उपयोगकर्ता खाता होना चाहिए। उस उपयोगकर्ता के पास कोई लॉगिन अधिकार नहीं होना चाहिए।

यदि यह केवल एक उपयोगकर्ता है जो स्थानीय विंडो खाते के साथ सेटअप मूल आधार परिवर्तन कर रहा है। जब आप मीडिया को जोड़ने या परिवर्तन करने के लिए लिंक को हिट करते हैं तो आपको उपयोगकर्ता नाम और पासवर्ड के लिए संकेत दिया जाएगा।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.