我们在使用360站长工具对Wordpress网站进行安全检测发现存有一个漏洞提醒,而该漏洞指的就是wordpress安装的执行文件install.php,当wordpress安装成功后这个文件也可以功成身退了。各位站长们不妨可以排查一下网站是否存在同样问题。

WordPress漏洞修复篇之install.php的处理方法-续笔记自媒体

此文件存在于web/wp-admin/下,黑客有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。所以,我们有必要对这个文件进行处理,以保证整个网站的安全。

解决办法:

  1. 执行拒绝写入指令。这个可以在网站空间的控制面板操作,大部分的服务器都支持这种做法,而且很简单,还可以对整个目录做出执行拒绝写入指令。当然了,也可以在ftp端的属性选项进行操作。
  2. 修改程序名称。我们可以修改前缀,把install修改成任何你想要的名称。也可以修改后缀名,把格式定义为其他任意格式,如把.php改为.abc。这么做的目的是伪装这个文件,阻扰黑客的识别,反正这个文件又不会影响网站功能,随便我们怎么定义了。
  3. 清空文件内容。用文本编辑器打开install.php,把里面脚本记录清空然后保存。这样即使黑客获取了这个文件,也无法对安装脚本进行分析。
  4. 直接删除。这是最直接有效的方法,也是推荐与首选。前面说了,这个文件只在网站程序载入空间服务器时需要调用,不然无法完成安装。但是安装完成后,就完成了它的使命,同时也失去了它的作用。删除它的另一个好处是,可以为服务器节省一丁点空间。

 

不过为了你网站安全起见,WordPress漏洞修复仅仅如此是远远不够的,养成定期备份网站数据才是最重要的,其实是最笨也是最有效的方法,没有之一。