wake-up-neo.com

Sicherheitsprobleme mit WP Websites

Ich musste mich nur mit einigen meiner WordPress-Websites auseinandersetzen, die gehackt wurden. Stellen Sie zum ersten Mal eine index.html-Datei in das cpanel jeder Site und füllen Sie meinen Admin-Benutzer wieder auf. Sobald ich das Gefühl hatte, dass ich das aufgeräumt habe, ist es wieder passiert, aber mein Titel-Tag wurde in "Hacked by Bala Sniper" geändert und die Widgets aus der Fußzeile jeder Website wurden entfernt.

Mein WHM-Konto besteht nicht nur aus WP Websites, daher weiß ich, dass es kein Hacker sein kann, der von dort aus darauf zugreift.

Ich habe dies viele Male gegoogelt und ein paar Probleme behoben, z. B., dass die ID = 1 nicht als Administrator festgelegt wurde, und das Captcha-Plugin unter anderem.

Ich habe das Gefühl, dass dies noch einmal passieren wird. Ich bin hier, um zu fragen, ob jemand dieses Problem heute oder gestern hatte oder ob Sie jemals das durch Bala Sniper gehackte Titelschild gewechselt haben usw. und ob Sie das Problem behoben und Ihre Sicherheit verschärft haben, um mir hoffentlich zu helfen unter allen anderen, die dies lesen.

Was mich am meisten beschäftigt, ist, dass jede einzelne WordPress-Site auf meinem WHM kompromittiert wurde und ich nichts gefunden habe, bei dem jede einzelne Site etwas ähnliches hat.

Vielen Dank an alle, die mir geholfen haben. Ich habe dies gegoogelt und so viele Probleme behoben, die ich vernachlässigt habe. Ich muss nur wissen, warum alle meine WP Konten betroffen waren.

Dev

1
Dev

Die WordPress-Konfigurationsdatei befindet sich im Stammverzeichnis . Sollte PHP aus irgendeinem Grund nicht mehr auf dem Webserver funktionieren, besteht die Gefahr, dass diese Datei im Klartext angezeigt wird Passwort und Datenbankinformationen an den Besucher. Sie können das Verzeichnis wp-config sicher aus dem Stammverzeichnis nach oben verschieben. Dies stoppt, wenn es versehentlich zugestellt wird. Wordpress verfügt über eine integrierte Funktion, die das übergeordnete Verzeichnis automatisch überprüft, wenn keine Konfigurationsdatei gefunden wird.

In diesen Situationen ist auf bestimmten Hosts keine Option. Eine Alternative auf Apache-Webservern besteht darin, Ihr .htaccess so einzustellen, dass die Datei wp-config nicht bereitgestellt wird. Fügen Sie die folgende Zeile zu ur .htaccess file im Stammverzeichnis hinzu.

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
2
Developer.Sumit

Ich wollte feststellen, dass mir dies in den frühen WP 3.x Tagen einige Male passiert ist. Benutze GoDaddy Shared Hsoting usw.

Meine Lösung: Ich habe meine eigene HTaccess-Datei (wenn Sie Apache verwenden) gegen RFI/LFI/SQL-Injects usw. kompiliert, nur sehr einfache, und die Verwendung von Base64, falschen Image-Hacks, Fingerabdrücken usw. deaktiviert. Dann müssen Sie Ihr CHMOD aka Permissions überprüfen. Sie können dies auch über FTP oder den Dateimanager tun. Oder besser HTACCESS, das letzte, was Ihr WP wirklich härtet, und dies ist keine leichte Aufgabe. Verlassen Sie sich nicht mehr auf Revolution Slider (nur zum Beispiel), und halten Sie ein Auge auf epxloit-db oder vulndb, um Informationen zu Plugins zu erhalten, die Sie verwenden.

Alles

Probieren Sie dies aus und bearbeiten Sie die .htaccess-Datei am Anfang. Sehen Sie sich YOURDOMAIN.COM an und ändern Sie sie -> Zeilen 21 und 22

https://github.com/dexit/wp-ht-access-se

0
dExIT