/ WP

WP后台防拿shell措施

自己根据网络上传的拿shell方法总结的,可能还有其他方法。

目前拿shell的方法都是集中在插件和主题上,WP后台提供了上传主题、插件,编辑主题插件的功能。这些都是直接上传、修改php文件,拿shell轻而易举。所以防拿shell的措施就是取消这些功能,因为这些功能只要有FTP权限就能自己实现,不需要WP后台来插一脚。

文件:wp-admin\theme-install.php

注释或删除$tabs[‘upload’] = __(‘Upload’);

文件:wp-admin\plugin-install.php

注释或删除$tabs[‘upload’] = __(‘Upload’);

文件:wp-admin\menu.php
注释或删除add_submenu_page(‘themes.php’, _x(‘Editor’, ‘theme editor’), _x(‘Editor’, ‘theme editor’), ‘edit_themes’, ‘theme-editor.php’);
注释或删除$submenu[‘plugins.php’][15] = array( _x(‘Editor’, ‘plugin editor’), ‘edit_plugins’, ‘plugin-editor.php’ );
文件:wp-admin\update.php
注释或删除action=upload-theme代码段
注释或删除action=upload-plugin代码段

删除或改名下列两个文件
wp-admin\theme-editor.php
wp-admin\plugin-editor.php

WP后台防拿shell措施
Share this