CakePHP webroot和tmp文件夹遭到攻击

时间:2018-06-06 07:23:13

标签: php wordpress cakephp-3.0

我正在开展一个项目。项目分为两部分:

  • 门户网站(WordPress)
  • 管理员(CakePHP 3. *)

我的生产网站遇到了问题。我的项目已经入侵,有些人在大多数门户网站(WordPress)和webroot以及admin(Cakephp)的/ tmp文件夹中添加了一些文件。

目前,我已经删除了根文件夹并从分支主服务器中取出。问题已经解决,但我知道这不是一个永久的解决方案。

文件夹结构是这样的:

<root>
    admin (cakePHP)
    wp-admin
    wp-content
    wp-includes 
    index.php
    wp-config.php
    ....
    .... and other word press files

为什么会出现此问题以及解决此问题的解决方案有哪些?

2 个答案:

答案 0 :(得分:1)

保护你的两个部分wordpress和cakephp。

1)Cakephp安全性 - https://book.cakephp.org/3.0/en/controllers/components/security.html

2)Wordpress安全性 - https://www.codeinwp.com/blog/secure-your-wordpress-website/

3)更改ftp用户名和密码使其更加安全

4)检查服务器是否安装了防火墙。

答案 1 :(得分:1)

实际上,你面临的问题涉及很多事情,请将其分成几个主题。

1 / WP

  • 保持您的安装始终是最新的。
  • 删除未使用的插件。
  • 保留更新的插件,如果不是来自可信来源则更改插件。
  • 保留更新后的主题,如果不是来自可靠来源,请进行更改。
  • 删除wordpress版本号,如果可能的话,html上有助于识别wordpress / theme / plugin的所有内容。
  • 由于您的安装已损坏,请更改所有凭据。

2 /你的cakePHP

  • 检查是否转义所有SQL查询
  • 当您允许用户上传文件时,检查您是否具有相关的安全性(mimetype,extention,rename file,不允许Webserver在您的uploads文件夹中执行PHP或Perl或Python)
  • 由于您的安装已损坏,请更改所有凭据。

3 /服务器结构

  • 您不应该在wordpress和CakePHP上传文件夹中允许服务器端脚本执行。
  • 你应该保持两个安装文件夹和Unix用户不同,以防止1个允许影响另一个的人。
  • 由于您的安装已损坏,请更改所有凭据。
相关问题
最新问题