Seguridad Wordpress en sitios alojados en IIS.

10

Desde ayer, tengo cosas extrañas sucediendo en uno de mis sitios web.

El index.php de mi sitio de wordpress en IIS cambió de 1 kb a 80 KB. También map.xml y sitemap.xml son nuevos en el directorio. Algunos archivos adicionales también se encuentran en wp-content / themes o wp-content / incluye folers. Como b.php o e.asp.

En los registros puedo encontrar una entrada que muestra el proceso, creo. POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 o POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80

Esto probablemente tiene que ver con el hecho de que mi configuración de seguridad podría ser menos estricta, sin embargo, no puedo encontrar la manera de reforzar la seguridad, pero dejo que funcione el mecanismo de actualización de WordPress, temas y complementos.

Actualmente, los derechos (iusr) están configurados para leer y escribir para todo el sitio web. Si lo cambio a solo lectura, todo el mecanismo de actualización falla debido a menos derechos

¿Hay alguna forma de evitar la inyección de archivos no deseados en el sitio web pero también poder actualizar wordpress, temas y complementos?

¿Podría ser que la inyección utilizada sea una explotación de algún complemento, o es debido a los derechos que el sitio recibe de los archivos no deseados?

(He bloqueado las direcciones IP que causaron esto, pero eso no ayuda mucho ya que este método de inyección ya se ha visto en otras direcciones / rangos de IP).

Teniente Lev
fuente
1
Posible duplicado de ¿Cómo trato con un servidor comprometido?
yagmoth555

Respuestas:

10

Seguí esta guía que funciona bien

https://codex.wordpress.org/Hardening_WordPress

Un par de cosas a tener en cuenta, si está permitiendo que varios usuarios carguen contenido en su sitio, hagan sus propios artículos, deben tener no solo una cuenta de privilegio especial en WordPress sino una cuenta de usuario ftp dictada en la caja. Ese usuario no debería tener ningún derecho de inicio de sesión.

Si solo un usuario realiza cambios, configure la autenticación básica con una cuenta de Windows local. Cuando presiona el enlace para agregar medios o hacer cambios, se le solicitará un nombre de usuario y contraseña.

Anthony Fornito
fuente