Sécurité Wordpress sur les sites hébergés par IIS.

10

Depuis hier, j'ai eu des choses étranges qui se passent sur l'un de mes sites Web.

Le fichier index.php de mon site wordpress sur IIS est passé de 1 ko à 80 Ko. Map.xml et sitemap.xml sont également nouveaux dans le répertoire. Certains fichiers supplémentaires se trouvent également dans wp-content / themes ou wp-content / includes folers. Comme b.php ou e.asp.

Dans les journaux, je peux trouver une entrée qui montre le processus, je pense. POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 ou POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80

Cela a probablement à voir avec le fait que mes paramètres de sécurité pourraient être moins serrés, mais je ne peux pas comprendre comment renforcer la sécurité, mais laisser le mécanisme de mise à jour pour wordpress lui-même, les thèmes et les plugins fonctionner.

Actuellement, les droits (iusr) sont définis pour lire et écrire pour l'ensemble du site Web. Si je le modifie pour lire uniquement, le mécanisme de mise à jour entier échoue en raison de moins de droits

Existe-t-il un moyen d'empêcher l'injection de fichiers indésirables sur le site Web, mais également de mettre à jour WordPress, les thèmes et les plugins?

L'injection utilisée pourrait-elle être un exploit de certains plugins, ou est-ce dû aux droits que le site obtient injecté avec des fichiers indésirables?

(J'ai bloqué les adresses IP qui ont causé cela, mais cela n'aide pas beaucoup car cette méthode d'injection a déjà été vue sur d'autres adresses / plages IP.)

iis permissions wordpress hacking Lt Lev
la source
1
Copie possible de Comment gérer un serveur compromis?
yagmoth555

Réponses:

10

J'ai suivi ce guide qui fonctionne bien

https://codex.wordpress.org/Hardening_WordPress

Quelques choses à garder à l'esprit, si vous laissez plusieurs utilisateurs télécharger du contenu sur votre site, créez leurs propres articles, ils devraient avoir non seulement un compte privilège spécial dans WordPress mais un compte utilisateur ftp dicté sur la boîte. Cet utilisateur ne devrait pas avoir de droit de connexion.

S'il s'agit d'un seul utilisateur effectuant des modifications, configurez l'authentification de base avec un compte Windows local. Lorsque vous cliquez sur le lien pour ajouter des médias ou apporter des modifications, vous serez invité à entrer un nom d'utilisateur et un mot de passe.

Anthony Fornito
la source