web-dev-qa-db-fra.com

Problèmes de sécurité avec WP des sites

Je viens de faire face à un piratage de certains de mes sites WordPress. Pour la première fois, placez un fichier index.html dans le cpanel de chaque site et reconstituez mon utilisateur administrateur. Une fois que j’ai eu l’impression d’avoir nettoyé tout cela, c’est à nouveau arrivé, mais ma balise de titre a été remplacée par "Piraté par Bala Sniper" et les widgets du pied de page de chaque site Web ont été supprimés.

Mon compte WHM n'est pas WP _ uniquement des sites Web, donc je sais que ce ne peut pas être un pirate informatique y accédant.

J'ai googlé cela plusieurs fois et corrigé quelques problèmes tels que ne pas faire de l'id = 1 pour être admin, le plugin captcha parmi quelques autres.

Je sens que cela va se reproduire. Je suis ici pour demander si quelqu'un a eu ce problème aujourd'hui ou hier ou si vous avez déjà eu ce piratage provoqué par un changement de balise de titre pour Bala Sniper, etc., et si vous avez résolu le problème et renforcé votre sécurité, espérons-le pour m'aider parmi ceux qui lisent ceci.

Ce qui me préoccupe le plus, c’est que tous les sites wordpress de mon site WHMM ont été compromis et que je n’ai rien trouvé de semblable.

Merci à tous ceux qui ont aidé, j’ai cherché dans Google et corrigé tous les problèmes que j’avais négligés; je voulais juste savoir pourquoi tous mes WP comptes ont été affectés.

Dev

1
Dev

Le fichier de configuration de wordpress se trouve à la racine . Dans le cas où PHP cesserait de fonctionner sur le serveur Web pour une raison quelconque. Nous courons le risque que ce fichier soit affiché en clair, ce qui mot de passe et informations de base de données au visiteur. vous pouvez déplacer en toute sécurité wp-config répertoire en dehors du répertoire racine. Cela s’arrêtera s’il est accidentellement servi. Wordpress a une fonctionnalité intégrée qui vérifie automatiquement le répertoire parent s'il ne peut pas trouver un fichier de configuration.

Dans cette situation, sur certains hôtes, n’est pas une option. Une alternative sur les serveurs Web Apache consiste à configurer votre .htaccess de ne pas servir le fichier wp-config . Ajoutez la ligne suivante à ur .htaccess file dans le répertoire racine.

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
2
Developer.Sumit

Je voulais dire que cela m’est arrivé à quelques reprises au début de WP 3.x jours. Suis en utilisant GoDaddy partagé hsoting etc.

Ma solution, j’ai compilé mon propre fichier HTaccess (si vous utilisez Apache) contre RFI/LFI/SQL, etc., est très simple, désactivant l’utilisation de base64, des hacks fictifs, des empreintes digitales, etc. Ensuite, vous devez vérifier vos autorisations CHMOD, vous pouvez également le faire par FTP ou gestionnaire de fichiers, ou mieux HTACCESS, l’une des dernières choses, est actuellement de durcir votre WP, et ce n’est pas une tâche facile, arrêtez de vous fier à Revolution Slider (juste par exemple), et gardez un coup d'oeil sur epxloit-db ou vulndb pour tout ce qui concerne les plugins que vous utilisez.

Tout

Allez voir ça, et éditez le fichier .htaccess au début pour voir YOURDOMAIN.COM et les changer -> lignes 21 et 22

https://github.com/dexit/wp-ht-access-se

0
dExIT