我在 Ubuntu 16.04 中使用 nginx 安装了最新版本的 wordpress。但安装几天后,我在根目录中看到了一些未知文件。
比如alias99.php。如何防止/阻止这种情况。我已经添加了
location ~ /\. {
deny all;
}
location ~ ^/wp-content/uploads/.*\.php$ {
deny all;
}
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
在conf文件中。如何确保安全级别。谢谢。
答案1
要了解有关该文件的更多信息:
- 运行
stat它。它ctime刚才有吗?换句话说,它真的是刚放在那里的吗? cat文件。您可以将其发布到您的问题中吗?
为了继续保证 Wordpress 的安全性,我个人认为 Web 应用程序应该不是能够写入自身。换句话说,您的文件(可能还有它所在的目录)归 www-data 所有。是的,这对 Wordpress 的自动更新功能很方便,但这真的是一个坏主意。Wordpress 推荐这种方法的事实让我无法理解。
你应该做的是,将所有文件的 unix 所有者更改为某个专用用户,然后使用wp-cli作为该用户升级 Wordpress。
话虽如此,如果这是一个新的 Wordpress 并且它已经被破解,那么您可能正在处理 Wordpress 之外的东西。