WordPress 根目錄檢查 wp-config.??? 不明檔案|網路安全漏洞

WordPress Logo Wallpaper 2018
推薦 FB 臉書粉絲團

WordPress 站長注意,請時常檢查自家網站根目錄下的檔案列表,是否出現如下所示以 wp-config 檔案為主體的各種延伸檔名以及副檔名。

近來檢查系統後台時,發現國外駭客集團正積極地大量掃描 WordPress 網站根目錄下的 wp-config 相關檔案。由於該檔案存有整個系統最重要的資料庫安全資訊以及各種重要網站設定,推測可能是 WP 漏洞被人利用的一個空窗期。

下面是被掃描過的 wp-config 相關檔案名稱,有根據 wp-config.php 原始檔案延伸名稱的,也有更改副檔名、備份等組成結構。

WordPress 安全漏洞疑慮 wp-config 相關檔案

  • wp-config-good
  • wp-config_good
  • wp-config.good
  • wp-config.phporiginal
  • wp-config.php-original
  • wp-config.php_original
  • wp-config.php.original
  • wp-config.php_orig
  • wp-config.php.orig
  • wp-config.php_
  • wp-config.php~
  • wp-config.php.save
  • wp-config.php.backup
  • wp-config.php.bak
  • wp-config.php.old
  • wp-config.php.new
  • wp-config.bak
  • wp-config.php.disabled
  • wp-config.php.swp

不用來路不明的佈景主題(Themes)以及外掛程式(Plugin),裝有至少一種安全防護程式(例如:Wordfence),都能最大化提高網站安全防護。

另外時常檢查網站目錄,熟悉基本的檔案名稱與數量,讓自己一眼就能看出哪些檔案是可疑的,找出多餘的備份與陌生檔案(前提是有其他安全備份以及不影響網站運作),沒有必要留存的檔案直接移除,這些舉動都能進一步提高網站安全性(前提是建立正確觀念)。

參考文獻
  1. 網站目錄常見駭客攻擊用病毒蠕蟲與後門危險檔案清單|WordPress Joomla CMS 內容網站
  2. 資安漏洞:WordPress 11 種外掛 Plugins 和佈景主題 Themes 安全性問題
  • 8
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    8
    Shares
  • 8
    Shares

工程師

做你的外套 擁抱著卻不被擁抱 聽到你對他的撒嬌 可笑的是我沒資格計較(誤)!工程師不是工具人,更不是愛的僕人喔(是在傲嬌什麼)。

您可能也會喜歡…

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *