文件访问权限审核
Posted: Tue Dec 10, 2024 3:33 am
根据 WordPress 的说法,开发人员和管理员应该不惜一切代价避免 777 文件权限,拥有此类权限的文件允许计算机上的任何人读取、写入和执行具有 777 权限的任何文件,而 WordPress 建议对 菲律宾手机号码数据库
文件夹使用 755 权限。文件为 644。由于 WordPress 文件会不断更新、更改和添加新内容,因此为了维护安全的环境,请定期审核您的网站文件以查找不正确的权限。如果您想进行快速审核,可以从SSH运行此命令来查看当前工作目录中不遵循 WordPress 文件权限准则的所有文件:
寻找 。 -输入f! -烫发0644;寻找 。 -D型! -烫发 0755
禁用 PHP 错误报告
禁用PHP错误报告 可防止黑客获取有关您的站点及其所在环境的重要信息。一种常见的黑客技术是查看给出错误的文件,以确定操作系统、服务器上站点的路径,甚至正在运行哪些应用程序。举个例子,假设您访问网站上的一个文件,该文件返回以下错误:
警告:无法修改标头信息 - 标头已由 /home/jchilcher/public_html/wp-content/plugins/twitter-profile-field/twitter-profile-field.php:28 中的 /home/jchilcher/ 中的输出开始发送public_html/wp-includes/option.php 第 571 行。
]
此错误已经告诉我,服务器正在使用带有 cPanel 的 Linux,这是该 cPanel 帐户的主域,并且该站点正在使用 twitter-profile-field 插件。现在我知道从哪里开始寻找漏洞以及从哪里利用它们。这个问题的解决方案和其他问题一样简单。创建或编辑站点的 php.ini 并确保禁用 display_errors 指令。这可以通过添加以下行来完成:
显示错误=关闭
一旦您的设置生效,页面上通常出现的所有错误都会消失。
文件夹使用 755 权限。文件为 644。由于 WordPress 文件会不断更新、更改和添加新内容,因此为了维护安全的环境,请定期审核您的网站文件以查找不正确的权限。如果您想进行快速审核,可以从SSH运行此命令来查看当前工作目录中不遵循 WordPress 文件权限准则的所有文件:
寻找 。 -输入f! -烫发0644;寻找 。 -D型! -烫发 0755
禁用 PHP 错误报告
禁用PHP错误报告 可防止黑客获取有关您的站点及其所在环境的重要信息。一种常见的黑客技术是查看给出错误的文件,以确定操作系统、服务器上站点的路径,甚至正在运行哪些应用程序。举个例子,假设您访问网站上的一个文件,该文件返回以下错误:
警告:无法修改标头信息 - 标头已由 /home/jchilcher/public_html/wp-content/plugins/twitter-profile-field/twitter-profile-field.php:28 中的 /home/jchilcher/ 中的输出开始发送public_html/wp-includes/option.php 第 571 行。
]
此错误已经告诉我,服务器正在使用带有 cPanel 的 Linux,这是该 cPanel 帐户的主域,并且该站点正在使用 twitter-profile-field 插件。现在我知道从哪里开始寻找漏洞以及从哪里利用它们。这个问题的解决方案和其他问题一样简单。创建或编辑站点的 php.ini 并确保禁用 display_errors 指令。这可以通过添加以下行来完成:
显示错误=关闭
一旦您的设置生效,页面上通常出现的所有错误都会消失。