我想知道如何以可以正常浏览网站的方式设置网站,但拒绝创建或编辑除ftp访问之外的任何文件。
我有一个wordpress网站,一遍又一遍地被黑客入侵。我知道我必须找到确切的漏洞,但作为一个快速的临时修复,我想拒绝网站创建新的PHP页面或修改现有的页面,但仍允许通过ftp进行更新。
现在所有文件夹都是755和文件644,从我能找到的,所有文件/文件夹都归帐户用户所有。我正在使用whm / cpanel进行专用托管。
从我所读过的内容来看,使用文件所有权可能是可行的,但我几乎不知道要为文件和文件夹设置什么组或用户所有权来实现这一点。
答案 0 :(得分:1)
所有恶意文件都直接从文件上传脚本加载。你不能否认wordpress上传文件。 Wordpress不知道什么是FTP。通过FTP权限,您可以更改文件的权限(而不是整个网站上传规则)。
您必须保护您的Wordpress。这个过程并不难。只需执行以下步骤:
暂时您可以更改.htaccess文件的规则,以允许仅从您的IP访问管理面板。只需将此代码复制/粘贴到.htaccess文件的底部:
RewriteEngine on RewriteCond%{REQUEST_URI} ^(。)?wp-login.php(。)$ [OR] RewriteCond%{REQUEST_URI} ^(。)?wp-admin $ RewriteCond%{REMOTE_ADDR}!^ xxxIPxxx $ RewriteRule ^(。)$ - [R = 403,L]
将xxxIPxxx替换为您的IP地址。您可以在此处找到完整的文章http://premium.wpmudev.org/blog/limit-access-login-page/。
我希望这个答案可以帮到你。