从昨天开始,我的一个网站上发生了一些奇怪的事情。 我在IIS上的wordpress站点的index.php从1 kb更改为80 KB。 map.xml和sitemap.xml在目录中是新的。 在wp-content / themes或wp-content / includes folers中也可以find一些额外的文件。 像b.php或e.asp。 在日志中,我可以find一个条目,显示我认为的过程。 POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php – 80或POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80 这可能与我的安全设置可能不那么严格,但我无法弄清楚如何加强安全性,但让wordpress本身,主题和插件更新机制的工作。 目前权利(iusr)被设置为整个网站的读写。 如果我改变它只读,整个更新机制失败,由于较less的权利 有什么办法可以防止不必要的文件在网站上注入,但也能够更新wordpress,主题和插件? 可能使用的注入是某个插件的漏洞利用,还是由于网站注入了不需要的文件的权利? (我已经阻止了引起这个问题的IP地址,但是这并没有什么帮助,因为这个注入方法已经在其他IP地址/范围上看到了。)
我有一个WordPress安装。 当文件夹的所有权为root时,消耗的内存是可以的。 但是,当我将所有权更改为www-data用户时,它开始占用大量内存,并开始引发大量内存不足错误。 我已经将所有权更改为root。 为什么会发生?
我们的营销机器人会喜欢我们的网域上的博客。 我检查了几个,虽然MovableType似乎有最小的漏洞,Wordpress赢得了比赛。 我非常怀疑安装一个在我们的主服务器上经常使用的软件工具。 然而,博客的url是www.domain.com/blog/而不是blog.domain.com(这当然可以让我在一个便宜的VPS上运行博客)。 我总是可以安装Wordpress,运行通过硬化,并希望最好的。 或者有没有人有一个想法,我怎么可以在一个子目录中运行博客,同时保持分开,而不影响function? 我正在玩htaccess等代理没有结果。 我们正在运行LAMP,并在前面有一个BIG IP负载平衡器,如果有帮助… 我害怕攻击者通过Wordpress访问我们的数据库(尽pipe我使用了不同的用户名等典型的注意事项)。 有任何想法吗?
在过去的几个小时里,我的服务器变得非常漂亮,主要是由于大量的加载请求。 我已经看到了这一点,这要归功于StatCounter的实时统计,它显示“来自”页面是: http://www.facebook.com/extern/login_status.php?api_key=3d34061e0ac6dc4dec21b35d2fb9d6d3&extern=0&channel=http%3A%2F%2Fwww.mysite.com%2F%3Fxd_receiver%3D1&locale=es_ES&sdk=edgar 着陆页是 http://www.mysite.com/?xd_receiver=1#%7B%22id%22%3A0%2C%22sc%22%3A%22http%3A%2F%2Fwww.facebook.com%2Fxd_receiver_v0.4.php%22%2C%22sf%22%3A%22loginStatus%22%2C%22sr%22%3A2%2C%22h%22%3A%22loginServer%22%2C%22sid%22%3A%220.162%22%2C%22t%22%3A0%7D%5B0%2C%22loginStatus%22%2C%22InitLogin%22%2C%7B%22b CPU,内存和带宽越来越高,我想现在如果这可能是某种攻击。 这是一个WP 3.2.1的WordPress博客,基于Ubuntu 10.04.2 LTS,带有Nginx,PHP-FPM和APC。 通常它运行得很好,但我很担心这个请求是加载服务器很多。 我唯一的解释是,我有一个简单的Facebook连接插件允许评论与Facebook帐户,但它没有给任何问题,直到现在。 奇怪的是,access.log显示请求来自不同的IP地址,所以我猜这不是攻击 164.77.106.237 – – [19/Oct/2011:18:20:53 +0200] "GET /?xd_receiver=1 HTTP/1.1" 403 189 "http://www.facebook.com/extern/login_status.php?api_key=3d34061e0ac6dc4dec21b35d2fb9d6d3&extern=0&channel=http%3A%2F%2Fwww.mysite.com%2F%3Fxd_receiver%3D1&locale=es_ES&sdk=edgar" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1)" 212.104.164.139 – – [19/Oct/2011:18:20:48 +0200] "GET /?xd_receiver=1 HTTP/1.1" 403 135 "http://www.facebook.com/extern/login_status.php?api_key=3d34061e0ac6dc4dec21b35d2fb9d6d3&extern=0&channel=http%3A%2F%2Fwww.mysite.com%2F%3Fxd_receiver%3D1&locale=es_ES&sdk=edgar" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1" etc. […]
AWS EC2小实例,运行WordPress和W3TC的Apache 2。 不到一个小时,我的APC碎片就达到了100%。 我的APC设置是: apc.enabled = 1 apc.shm_segments = 1 apc.shm_size = 100M apc.optimization = 0 apc.num_files_hint = 512 apc.user_entries_hint = 1024 apc.ttl = 7200 apc.user_ttl = 7200 apc.gc_ttl = 3600 apc.cache_by_default = 1 apc.use_request_time = 1 apc.filters = "apc\.php$" apc.mmap_file_mask = "/tmp/apc.XXXXXX" apc.slam_defense = 0 apc.file_update_protection = 2 apc.enable_cli = 0 apc.max_file_size = […]
我有Nginx运行PHP和WordPress。 Acunetixbuild议设置这些标志,但它们不提供任何文档。 我已经看了一下,但是我没有看到任何显示如何实现这个的东西。 我有这个模块:Nginx的http://wiki.nginx.org/HttpHeadersMoreModule ,如果这将有所帮助。 任何有关如何设置这些标志的信息? 谢谢。 按照这里要求的cookie样本 Cookie:__cfduid = d3-shortened-08; cf_use_ob = 0; wordpress_logged_in_6dfda缩短的-e3e82d5; __utma = 21-缩短-436.19; __utmc = 21519150; __utmz = 2119150.1396063475.3.2.utmcsr =谷歌| utmccn =(有机)| utmcmd =有机| utmct R =(未%20provided); testing= 1; SID = A14-缩短-384; sessiontest = 1; WP-设置-2 =编辑%3Dhtml%26wplink%3D0%26uploader%3D1%26mfold%3DO%26ed_size%3D 677%26libraryContent%3Dbrowse%26urlbutton%3Dfile; WP-设置时间-2 = 139745167; wordpress_test_cookie = WP +曲奇+检查; wordpress_logged_in_a9缩短的-d2a7 = DrDinosaur%7C1397980-缩短-2F9
我注意到search引擎机器人/ var / log / apache扫描从我的服务器获取特定的文件名。 他们大多数是裂缝。 我没有托pipe这些文件,而且在磁盘上也没有看到它们。 任何想法会造成这种情况?
我支持一个中等stream量的WordPress的服务器,2GB内存和一个双核和opteron CPU,运行Gentoo。 它看起来像只是一个默认的安装,所以我会调整MySQL,但我也计划放在一个WordPress的各种caching插件。 我应该考虑哪些插件? 在select它们时,我应该考虑到它们之间是否有任何显着差异? 这篇关于编码恐怖的文章提出了WP-Cache,WP-Super-Cache或Bad Behavior–还有其他插件可以在我的快速调查中使用吗?
我目前正在寻找自动缩放在Amazon EC2上的wordpress安装。 一切正常,我可以绑定我的EBS实例,把一些策略,然后亚马逊自动实例运行在我的负载均衡器,如果需要的话。 但是,如果我有一个WordPress的插件,它不会安装在每个实例。 我的愿望是,当我安装一个插件,也自动安装在其他服务器上。 我能为你做什么? 你有什么想法吗?
我一直在Serverfault寻找几个小时试图解决这个问题,但我找不到解决scheme。 会发生什么是: 我有一个使用wget在我的网站302redirect循环,但不使用浏览器。 在我的nginxconfiguration中,我只有两个301redirect,而不是302 。 我试图禁用WordPress的所有插件没有运气。 什么可能导致这个问题? 下面是我的nginxconfiguration。 wget一些例子: wget elbauldelprogramador.com –2014-10-30 13:10:24– http://elbauldelprogramador.com/ Resolving elbauldelprogramador.com (elbauldelprogramador.com)… Connecting to elbauldelprogramador.com (elbauldelprogramador.com)||:80… connected. HTTP request sent, awaiting response… 302 Moved Temporarily Location: 404 [following] –2014-10-30 13:10:25– http://elbauldelprogramador.com/404 Reusing existing connection to elbauldelprogramador.com:80. HTTP request sent, awaiting response… 302 Moved Temporarily Location: 404 [following] –2014-10-30 13:10:25– http://elbauldelprogramador.com/404 […]