“777” и безопасность.

У меня такая проблема. Мой блог ломанули. Как пока остается загадкой. Версия была 2,3 -вроде на нее есть sql-инъекция. Злоумышленник получил доступ в админку. Я восстановил бэкап, обновился до версии 2,3,2 – вроде было тихо. Спустя сутки опять ломанули, но теперь уже серьезнее. Они смогли залить php файл в директорию ***/wp-content/cashe – права на нее стоят 777. После этого при помощи этого файла мне заливали картинки, "исправляли" php и html файлы. Сменил пароль на админку, удалил все подозрительные файлы, запретил редактировать темы из встроенного редактора (а то получается можно в текущей теме в index.php разместить любой код).

Остается вопрос что делать с правами на папку? Если оставить такие права еще возможны атаки? И можно ли защититься, сохранив работоспосбность скрипта при помощи файла .htaccess следующего содержания:

deny from all

или лучше в тех папках, где нет php файлов (например с картинками)

<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>

Думаю, можно. Фалы кеша пишутся-читаются скриптами, а не апачем, так что мешать не должно. Заодно можно и uploads прикрыть чем-то типа
<FilesMatch "\.php.?$">
deny from all
</FilesMatch>

Anonymous
Отправить
Ответ на: