Привет. У меня сайт на вордпресе. Вот недавно поставил плагин Wordfence, и посмотрел трафик онлайн. Что заинтересовало, так это то, что почти каждую минуту, с разных IP, из разных мест и стран, кто то долбится в папку uploads, и пытается пройти к файлам изображений.
Насколько это опасно, и опасно ли вообще. А если опасно, то может что посоветуете.
_____________
Старый конь борозды не испортит
проверяют на уязвимости и наличие шеллов которые могут там случайно оказаться всякие боты чекеры
Ага! А что такое шелл? Как узнать есть он или нет? Я ещё слабоват в этом.
_____________
Старый конь борозды не испортит
шелл - это вредоносный файл, который заливается на ваш сервер злоумышленником, что бы получить доступ к файлам , на вашем сервере
и можно делать с этими файлами все, что угодно
Ребята! Как этого избежать???
_____________
Старый конь борозды не испортит
Цитата |
Ребята! Как этого избежать??? |
Боты и всякие хакерюги постоянно ломятся...можно сказать ежечасно, особенно со стороны Китая. Поэтому избежать этого нельзя, нужно просто, чтоб всё максимально было закрыто. Я не юзаю wordpress, но подозреваю, что нужно:
1. Грамотно проверять тип файла картинки (а не просто по расширению)
2. Делать для любой загружаемой картинки хоть небольшой 5-10 px, но ресайз.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
А если ей сначала скрин, а потом уже этот скрин загружать? И уж извини старого дурня, а что такое ресайз?
_____________
Старый конь борозды не испортит
Цитата |
И уж извини старого дурня, а что такое ресайз? |
Ресайз - resize, изменить размер, скажем была картинка 800х600, а сделали из нее 785x590. Как-то виден на хабре пример такой картинки, т.е. в картинку запаковывают код, который в определенных условиях можно будет запустить, вероятно ресайз его испортит. Однако, наверное, стоит так заморачиваться только если картинка где-то может инклюдится или типа того.
Цитата |
А если ей сначала скрин, а потом уже этот скрин загружать? |
не совсем понял...
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Nuzhser
13.11.2014 - 23:00
Нифига не надо делать кроме как віставіть права на папку uploads = 555
_____________
Лэт ит би
AllesKlar
14.11.2014 - 01:44
Цитата (ABC @ 8.10.2014 - 12:38) |
Ресайз - resize, изменить размер, скажем была картинка 800х600, а сделали из нее 785x590. Как-то виден на хабре пример такой картинки, т.е. в картинку запаковывают код, который в определенных условиях можно будет запустить, вероятно ресайз его испортит. Однако, наверное, стоит так заморачиваться только если картинка где-то может инклюдится или типа того. |
Не изменить размер, а прочитать изображение и создать на его базе новое, которое и будет сохранено.
Цитата (Nuzhser @ 13.11.2014 - 23:00) |
Нифига не надо делать кроме как віставіть права на папку uploads = 555 |
А потом будут плодиться посты: скачал скрипт, установил, все работает, но меня взломали.
Не сомневаюсь, что ты скажешь: "Сам дурак, права на папку не выставил", но не проще ли сразу написать правильный код, а не мастерить костыли?
_____________
[продано копирайтерам]
killer8080
14.11.2014 - 16:30
Цитата (Nuzhser @ 13.11.2014 - 22:00) |
Нифига не надо делать кроме как віставіть права на папку uploads = 555 |
Нафига нужна папка uploads, в которой вебсервер не имеет прав на запись?
Nuzhser
14.11.2014 - 18:42
Ой извиняюсь я имел ввиду права 700 на єту папку
_____________
Лэт ит би
Обсраться в вордпрессе досих пор нет htaccess потипа такого? Хотя когда в последний раз ковырял вордпресс из коробки приходилось ручками его допиливать от тупейших дыр, но эт было давно.
php_flag engine 0
Options -ExecCGI
Options -Indexes
Header set X-Robots-Tag "noindex, nofollow, noimageindex"
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.