IIS 호스팅 사이트의 보안 Wordpress.


10

어제부터 웹 사이트 중 하나에서 이상한 일이 발생했습니다.

IIS에서 워드 프레스 사이트의 index.php가 1KB에서 80KB로 변경되었습니다. 또한 map.xml 및 sitemap.xml은 디렉토리의 새로운 기능입니다. 일부 추가 파일은 wp-content / themes 또는 wp-content / includes folers에도 있습니다. b.php 또는 e.asp와 같습니다.

로그에서 나는 내가 생각하는 과정을 보여주는 항목을 찾을 수 있습니다. POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php-80 또는 POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80

이것은 아마도 내 보안 설정이 덜 엄격해질 수 있다는 사실과 관련이있을 수 있지만 보안을 강화하는 방법을 알 수는 없지만 워드 프레스 자체, 테마 및 플러그인에 대한 업데이트 메커니즘을 작동시킬 수는 있습니다.

현재 권리 (iusr)는 전체 웹 사이트에 대해 읽기 쓰기로 설정되어 있습니다. 읽기 전용으로 변경하면 권한이 줄어들어 전체 업데이트 메커니즘이 실패합니다.

웹 사이트에 원치 않는 파일이 삽입되는 것을 막을 수있는 방법이 있습니까? 또한 워드 프레스, 테마 및 플러그인을 업데이트 할 수 있습니까?

주입이 일부 플러그인을 이용하는 것일 수도 있고, 권한 때문에 사이트가 원치 않는 파일을 주입 할 수 있습니까?

(이 문제를 일으킨 ip addres를 차단했지만이 주입 방법이 다른 ip 주소 / 범위에서 이미 보였으므로 도움이되지 않습니다.)


답변:


10

나는 잘 작동하는이 가이드를 따랐다.

https://codex.wordpress.org/Hardening_WordPress

여러 사용자가 사이트에 콘텐츠를 업로드하도록 허용하는 경우 자신의 기사를 만들려면 WordPress의 특수 권한 계정뿐만 아니라 상자에 지정된 ftp 사용자 계정이 있어야합니다. 해당 사용자에게는 로그인 권한이 없어야합니다.

사용자가 한 명인 경우 로컬 Windows 계정으로 기본 인증 설정을 변경하십시오. 미디어를 추가하거나 변경하기 위해 링크를 누르면 사용자 이름과 비밀번호를 묻는 메시지가 나타납니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.