CakePHP webroot и tmp папки взломаны - PullRequest
Новая
       2

CakePHP webroot и tmp папки взломаны

0 голосов
/ 06 июня 2018

Я работаю над проектом.Проект состоит из двух частей:

  • portal (WordPress)
  • Admin (CakePHP 3. *)

Я столкнулся с проблемой на моем производственном сайте.Мой проект взломан, кто-то добавил несколько файлов, в основном, в каждую папку портала (WordPress), а также в папку webroot и / tmp администратора (Cakephp).

На данный момент я удалил корневую папку и извлек из ветки master.Проблема была решена, но я знаю, что это не постоянное решение.

Структура папок выглядит следующим образом: 

<root>
    admin (cakePHP)
    wp-admin
    wp-content
    wp-includes 
    index.php
    wp-config.php
    ....
    .... and other word press files

Почему возникла эта проблема и как ее решить?

Ответы [ 2 ]

0 голосов
/ 06 июня 2018

На самом деле вы сталкиваетесь с вопросом, который касается многих вещей, позвольте разбить его на пару тем.

1 / WP

  • Держите вашу установку всегда актуальной.
  • Удалите неиспользуемые плагины.
  • сохраняйте обновленные плагины и меняйте их, если не из надежного источника.
  • Сохраняйте обновленную тему и меняйте ее, если она не из доверенного источника.
  • Удалите номер версии WordPress и, если возможно, все элементы HTML-кода, которые помогают идентифицировать WordPress / theme / plugin.
  • Поскольку ваша установка уже повреждена, измените все учетные данные.

2/ your cakePHP

  • Проверьте, не экранировали ли вы все SQL-запросы
  • Проверьте, есть ли у вас соответствующий уровень безопасности, когда вы разрешаете пользователю загружать файл (mimetype, extention, rename file, не разрешатьВеб-сервер для выполнения PHP или Perl или Python в папке загрузки)
  • Поскольку ваша установка уже повреждена, измените все учетные данные.

3 / Структура сервера

  • Youне следует разрешать выполнение сценариев на стороне сервера внутри папок WordPress и CakePHP uploads.
  • Вы должны хранить как отдельную папку, так и для пользователя Unix обе ваши установки, чтобы предотвратить 1, позволяющий повлиять на другую.
  • Потому чтоВаша установка уже повреждена, измените все учетные данные.
0 голосов
/ 06 июня 2018

Защитите оба раздела WordPress и CakePHP.

1) Безопасность Cakephp - https://book.cakephp.org/3.0/en/controllers/components/security.html

2) Безопасность Wordpress - https://www.codeinwp.com/blog/secure-your-wordpress-website/

3) Смена имени пользователя ftpи пароль делают более безопасным

4) Проверьте, установлен ли на сервере брандмауэр или нет.

...