1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Plötzliche UNERWÜNSCHTE Werbeeinblendung

Dieses Thema im Forum "Allgemeines" wurde erstellt von cicyl, 28. Januar 2014.

Schlagworte:
  1. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Setze die Rechte entsprechend, das keine Datei unter /uploads ausgeführt werden kann.
     
  2. Gerd-E.

    Gerd-E. Well-Known Member

    Registriert seit:
    24. April 2013
    Beiträge:
    3.183
    Zustimmungen:
    2
    @Hille,

    ist eine Index-Datei mit

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    aus deiner Sicht dort sinnvoll?
     
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.535
    Zustimmungen:
    59
    nö - das beendet nur das Script.

    Du musst dafür sorgen, dass in dem Verzeichnsi erst gar keine PHP-Scripte ausgeführt werden können.

    So sieht die .htacess bei mir aus
    https://github.com/r23/MyOOS/blob/master/blog/wordpress/wp-content/uploads/.htaccess

    aber damit hast die Sicherheitslücke noch nicht gefunden und beseitigt.
     
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.535
    Zustimmungen:
    59
    Du kannst *keiner* Datei mehr auf dem Server trauen. Auch nicht den Bildern! Es wird vermutlich ein Bild dabei sein, dass nicht von dir ist. Diese Grafik erst löschen, wenn dein System _SICHER_ ist.

    Viel Glück

    Ralf
     
  5. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Es gibt 2 Möglichkeiten:

    1. Externe Zugriffe auf PHP Dateien deaktivieren (/wp-includes und /wp-content)

    In die .htaccess im root Verzeichnis

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    2. einfach nur das Ausführen unter /uploads verbieten

    In die .htaccess im /uploads Verzeichnis

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich persönlich bevorzuge die 1.Variante
     
    #25 Hille, 29. Januar 2014
    Zuletzt bearbeitet: 29. Januar 2014
  6. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    So sieht meine htaccess jetzt für wp-content aus:
    # Disable direct access of any *.php files in /wp_content folder
    <FilesMatch .php>
    Order deny,allow
    Deny from all
    </FilesMatch>

    Ist es sinnvoll den Unterordner uploads noch zusätzlich per htaccess zu schützen?
     
  7. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Damit läuft aber deine Seite nicht mehr ;). Im Verzeichnis /wp-content sind doch Scripte, die ausführbar sein müssen. Nimm eine Variante von meinen beiden Beispielen.
     
  8. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.535
    Zustimmungen:
    59

    Mein Beispiel bezog sich auf den Unterordner blog / wordpress / wp-content / uploads auf meinem Server. Wenn dein Server auch Perl Scripte ausserhalb von cgi-bin ausführt - bringt dir dies nichts - rein gar nichts.


    Ich probiere dies in der Regel mit einem Perl Script eben aus

    check.pl

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich rufe das Script dann im Browser auf http://...../uploads/check.pl
    und erhalte ich "Hallo Welt" zurück... erweitere ich entsprechend

    zum Beispiel

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    aber dies von der Umgebung abhängig.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden