WordPress 网站的 mail() 函数有多大的安全风险?

WordPress 网站的 mail() 函数有多大的安全风险?

在装有 Debian 9 的 VPS 上,我有几个使用 Nginx + PHP 7.0 + MariaDB 运行的 https WordPress 网站。我还有一个装有 Postfix + Dovecot 的邮件服务器。一切正常。

然而,我非常担心 php mail() 函数,该函数可以被位于 WordPress 目录内的任何 php 脚本使用 php 用户“www-data”从我的服务器发送电子邮件。我听说过一些恐怖故事,黑客能够将恶意 php 脚本上传到 WordPress 目录,并使用它们从该服务器发送数千封垃圾邮件。如果 Nginx 配置正确,并且所有 WordPress 目录都归“www-data”用户和组所有,且权限为 750,那么黑客如何将 php 脚本上传到 WordPress?

我尝试通过在“/etc/postfix/main.cf”中包含“authorized_submit_users = !www-data root”指令来拒绝“www-data”从服务器发送任何电子邮件的权限。这样,我只能在“root”用户下从命令行或使用 php 脚本中的 mail() 函数发送电子邮件,而“www-data”用户无法从服务器发送任何电子邮件。问题是:如果我保留 Postfix 设置,所有使用 mail() 函数的 WordPress 插件将不再起作用。我知道一般 WordPress 插件(如联系表单或 WooCommerce)不直接使用 mail() 函数,而是通过 PHPmailer 类。这并没有改变这种情况。看来我无法拒绝“www-data”从我的服务器发送电子邮件的权限。

那么,如果恶意脚本进入 WordPress 目录,我该如何使用 mail() 函数阻止恶意脚本在“www-data”用户下发送垃圾邮件?

答案1

黑客通常利用 WordPress 中任何主题或插件的安全漏洞来上传恶意文件,然后滥用服务器。

查看示例黑客如何访问我的 WordPress 上传文件夹?[关闭]

Wordpress 随着时间的推移出现安全漏洞,但过时的插件/主题是一个巨大的风险。

保持你的系统/wordpress 更新是使用 wordpress 的最佳建议,特别是当你的 nginx 得到正确保护时。

相关内容