it-swarm.com.de

Auswertungen von zwei WordPress-Sicherheitsplänen gegen PHP-Code-Injection-Attacken

Senario:

Ich habe ein WordPress PHP Code Injection-Szenario auf SO gepostet, URL: https://stackoverflow.com/questions/26826082/what-is-the-highly -effizienter-Weg-einen-Block-aus-String-Pattern-in-PHP-Datei-zu-entfernen

Ich habe festgestellt, dass es auf einigen WordPress-Sites regelmäßig vorkommt. Die Folge ist, dass das Plugin abstürzt oder sich nicht einloggen/wp-admin kann, bis Sie alle Injection-Patterns aus allen PHP-Dateien entfernt haben, wie in der zeitaufwändigen Methode, die ich in erwähnt habe der obige Beitrag, aber bis jetzt weiß ich nicht, wo der Fehler für Angreifer ist, um solchen Code in WordPress zu injizieren.

Trotzdem werden nach Recherchen zudem regelmäßig saubere Dateien gesichert. Ich habe unter WordPress Sicherheitspläne, um Injektionen zu vermeiden:

Lösung 1. WordPress Update Plan

        meaning always check out updates wordpress to latest version
        always check out updates making sure plugins to latest version.

Lösung 2. strenge Datei/Ordner-Berechtigungskonfiguration auf WordPress [PHP, normale Dateien, Ordner]

        never allow php file updates on production site, 
        Apache chmod set 
        all wordpress *.php files to chmod 644; 
        all normal files  *.js *.css *.html etc to 755; 
        wp-upload folder set chmod to 755
        rest wordpress folder set chmod to 644; 

Für diese beiden Ansätze

Lösung 1: (Wenn Sie sich auf die Aktualisierung auf die neueste Version konzentrieren und die neuesten Patches verwenden, werden Schwachstellen behoben, während chmod bei der Installation von WordPress/Plugin als Standardberechtigung beibehalten wird.)

tatsächlich ist es sehr arbeitsintensiv, da so viele Updates zu erledigen sind und Sie nie wissen, ob ein Update des Cetain-Plugins zu Kompatibilitätsproblemen mit der WordPress-Version führt. und ich denke nicht, dass es alles abdecken kann, um die Injektion in meinem SO Beitrag zu verhindern. Wenn die Seite bereits eingebunden wurde und Sie vor dem Update nicht aktualisiert haben, führt dies in der Regel zu einem Absturz des Plugins, wie ich es schon oft erlebt habe. Der Aktualisierungsplan ist jedoch die beliebteste Methode, um die Sicherheit von WordPress zu erhöhen, erfordert jedoch eine menschliche Überwachung und Wartung während der Aktualisierungen.

Lösung 2: (Konzentrieren Sie sich darauf, die chmod-Berechtigungen anzupassen, um Dateiänderungen zu verbieten.) Hier ein Verweis auf die Codex-Einstellung für wordpress chmod: http://codex.wordpress.org/Changing_File_Permissions

sieht vernünftig aus, muss aber auf jeden Fall getestet werden, ob der Überschutz von chmod zu Inkompatibilitäten mit den funktionierenden Plugins usw. führt. Bestimmte Plugins erfordern unsichere Berechtigungen. Dies bedeutet auch, dass gemäß der Berechtigungskonfiguration nur geringfügige Änderungen an der Produktionsstätte vorgenommen werden können.

Also Leute, welchen Ansatz würden Sie vorschlagen, um die WordPress-PHP-Dateien vor dem Injizieren zu schützen. Kommentare zu den beiden oben genannten Lösungen.

Oder haben Sie bessere Pläne, gegen solche Code-Injektionen vorzugehen?

(Lösungen mit weniger menschlichem Überwachungsaufwand werden bevorzugt.)

1
BOBO

Erstens sind diese beiden Dinge (Aktualisierungen und vernünftige Dateiberechtigungen) weder "ODER" oder optional. Das ist, was Sie gerade tun , weil, wenn Sie nicht früher oder später (auch wenn erheblich später) Sie Probleme haben werden. Relativ gesehen würde ich sagen, dass Updates wichtiger sind, da fehlerhafte Dateiberechtigungen in bereits gefährdeten Umgebungen (wie schlecht konfiguriertem Shared Hosting) zu Schäden führen können.

Zweitens, wenn Sie wiederholt eine Infektion Ihrer Website (s) erfahren, würde keiner der beiden etwas tun für dich. Sie haben irgendwo eine ernsthafte Lücke, die entweder leicht von automatischen Scannern ausgenutzt werden kann oder die jemand kennt und manuell ausnutzt. Bevor Sie feststellen, was dieses Loch ist und wie es zu schließen ist, sind alle anderen Sicherheitsmaßnahmen ziemlich umstritten.

2
Rarst