У меня такая проблема. Мой блог ломанули. Как пока остается загадкой. Версия была 2,3 -вроде на нее есть sql-инъекция. Злоумышленник получил доступ в админку. Я восстановил бэкап, обновился до версии 2,3,2 – вроде было тихо. Спустя сутки опять ломанули, но теперь уже серьезнее. Они смогли залить php файл в директорию ***/wp-content/cashe – права на нее стоят 777. После этого при помощи этого файла мне заливали картинки, "исправляли" php и html файлы. Сменил пароль на админку, удалил все подозрительные файлы, запретил редактировать темы из встроенного редактора (а то получается можно в текущей теме в index.php разместить любой код).
Остается вопрос что делать с правами на папку? Если оставить такие права еще возможны атаки? И можно ли защититься, сохранив работоспосбность скрипта при помощи файла .htaccess следующего содержания:
deny from all
или лучше в тех папках, где нет php файлов (например с картинками)
Думаю, можно. Фалы кеша пишутся-читаются скриптами, а не апачем, так что мешать не должно. Заодно можно и uploads прикрыть чем-то типа
<FilesMatch "\.php.?$">
deny from all
</FilesMatch>