Sicurezza Wordpress su siti ospitati da IIS.


10

Da ieri ho visto cose strane accadere su uno dei miei siti web.

L'indice.php del mio sito wordpress su IIS è cambiato da 1 kb a 80 KB. Anche map.xml e sitemap.xml sono nuovi nella directory. Alcuni file aggiuntivi si trovano anche in wp-content / themes o wp-content / include foler. Come b.php o e.asp.

Nei registri posso trovare una voce che mostra il processo che penso. POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 o POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80

Questo probabilmente ha a che fare con il fatto che le mie impostazioni di sicurezza potrebbero essere meno restrittive, tuttavia non sono in grado di capire come rafforzare la sicurezza ma lasciare che il meccanismo di aggiornamento per wordpress stesso, temi e plugin funzionino.

Attualmente i diritti (iusr) sono impostati per leggere la scrittura per l'intero sito Web. Se lo cambio in sola lettura, l'intero meccanismo di aggiornamento non riesce a causa di meno diritti

Esiste un modo per impedire l'iniezione di file indesiderati sul sito Web ma anche l'aggiornamento di wordpress, temi e plugin?

L'iniezione utilizzata potrebbe essere un exploit di alcuni plugin, o è a causa dei diritti che il sito viene iniettato con file indesiderati?

(Ho bloccato gli indirizzi IP che lo hanno causato, ma ciò non aiuta molto poiché questo metodo di iniezione è già stato visto su altri indirizzi / intervalli IP.)


Risposte:


10

Ho seguito questa guida che funziona bene

https://codex.wordpress.org/Hardening_WordPress

Un paio di cose da tenere a mente, se si consente a più utenti di caricare contenuti sul proprio sito, creare i propri articoli che dovrebbero avere non solo un account privilegio speciale in WordPress ma un account utente ftp dettato sulla scatola. Quell'utente non dovrebbe avere alcun diritto di accesso.

Se è solo un utente che apporta modifiche, configura l'autent di base con un account Windows locale. Quando si preme il collegamento per aggiungere file multimediali o apportare modifiche, verrà richiesto un nome utente e una password.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.