Accès à /WP-Content et aux sous-dossiers ?

Question

KC

Accès à /WP-Content et aux sous-dossiers ?

Posée il y a plus de 4 ans

Nous utilisons la version Pro de WP Cerber et je l'ai configurée comme recommandé. Je suppose que cela empêche l'accès en écriture par des personnes non autorisées au dossier /WP-Content et à ses sous-dossiers ? Je vois cependant des preuves d'accès douteux/suspects aux sous-dossiers : /Themes, /Uploads et /Plugins. J'ai lu qu'il est possible de voler essentiellement la propriété intellectuelle précieuse du site en exportant le contenu de ces dossiers. Je crois que le contenu de ces dossiers peut être lu par n'importe qui ? J'ai également vu qu'il existe des plugins disponibles pour renommer /WP-Content. Quelles sont les implications de faire cela ? Quelles fonctionnalités seraient impactées ? Les "bons" bots et crawlers seraient-ils affectés négativement ? Nous utilisons Bigscoots (nginx) avec Cloudflare en frontal. Je peux écrire une règle de pare-feu pour bloquer l'accès à ces dossiers (liste blanche des IPs autorisées) dans Cloudflare, mais est-ce souhaitable ou judicieux ? J'apprécie vos réflexions à ce sujet !

Website Security Software

Commentaire

2 commentaires

2

On dirait que vous n'êtes pas connecté.

Les utilisateurs doivent être connectés pour répondre aux questions

Se connecter

Keith C. · Answer 1 · 2021-04-29T12:10:38-05:00

Merci pour votre réponse. Cela clarifie quelques points et j'ai également lu sur le sujet sur d'autres blogs. J'assume que votre commentaire sur un hacker modifiant des fichiers signifie qu'ils doivent se connecter avec un accès administratif ?. Je pense qu'avec WP Cerber et les règles de Cloudflare, nous avons cela assez bien sécurisé. J'utilise des analyses WP Cerber quotidiennement pour vérifier les modifications de fichiers. J'ai temporairement mis en place une règle FW pour bloquer l'accès au dossier Plugins. J'ai été étonné par les milliers de tentatives bloquées. J'ai lu ailleurs que les BOTs scannent ces dossiers à la recherche de choses à exploiter. Je réalise également maintenant que la plupart de cette activité se déroule dans le cache de Cloudflare et n'atteint pas notre serveur. Je crois aussi que notre société d'hébergement met en cache ce contenu car j'ai vidé le cache de Cloudflare mais je n'ai pas vu de rechargement depuis notre serveur. WP Cerber Traffic Inspector est l'outil que j'utilise le plus quotidiennement. Merci pour le lien. Je vais envisager de renommer le dossier.

Gregory M. · Answer 2 · 2021-04-20T09:51:30-05:00

Pas exactement. Il bloque les requêtes malveillantes qui peuvent altérer les fichiers du site web de manière non autorisée. WP Cerber scanne également le site web à la recherche de logiciels malveillants et de fichiers modifiés. N'importe qui peut lire tous les dossiers et fichiers WordPress sur votre site web. Ils peuvent également être modifiés facilement si un pirate trouve une vulnérabilité. C'est la nature de WordPress. En partie, c'est pourquoi WordPress est devenu si populaire. Avec WordPress, un propriétaire de site web moyen n'a pas besoin de savoir comment configurer les permissions sur le site web puisque WordPress ne gère rien en rapport avec les permissions. Tout ce que vous devez faire est de décompresser l'archive et d'exécuter le script d'installation "fameux en 5 minutes". C'est tout. Et c'est en partie pourquoi des millions de sites web ont été ou seront piratés. Oui, vous pouvez, et nous recommandons de renommer le dossier wp-content. Seuls les plugins obsolètes peuvent être affectés. En savoir plus : https://www.hongkiat.com/blog/renaming-wordpress-wp-content-folder/ Je ne recommanderais pas d'utiliser Cloudflare pour bloquer l'accès à ces dossiers. Certains plugins ne fonctionneront pas correctement.

Accès à /WP-Content et aux sous-dossiers ?

À propos de Cerber Security, Antispam & Malware Scan