【发布时间】:2014-12-24 08:31:17
【问题描述】:
我的 wordpress 网站上存在病毒和后门问题。
我决定最好将所有 wordpress 文件置于只读模式并进行手动更新。将所有 wp-content 放入另一个 web-server 以获取静态内容。
我认为如果黑客不能上传 shell,他就不能直接连接到服务(???)。注入恶意代码的方法有:
- 使用 javascript 或类似的东西登录 wordpress 和编辑帖子。我将阻止在小部件中执行 php。蛮力限制和另一个防火墙。
- 对数据库服务器的访问在 wordpress 上引发 0-day 漏洞利用并对其执行某些操作以写入 / 的 RW 部分
- 破解其他服务(邮件/ftp)并将后门写入 webroot,更改 web 服务器的设置
我的问题是:从哪一种攻击RO模式对wordpress引擎无能为力?以及如何保护 wordpress?
【问题讨论】:
标签: wordpress