• 欢迎访问搞代码网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站!
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏搞代码吧

[警告]发现install.php文件WordPress漏洞解决方案

相关文章 程序员 2年前 (2019-02-20) 1004次浏览 已收录 0个评论

存在”网站目录结构暴露”风险,安全性降低10% [警告] 发现install.php文件

下面搞代码网站给大家讲讲如何解决install.php漏洞及其他相关常见的问题

众所周知install.php代码文件是Wordpress博客系统的安装程序入口。用Wordpress建立博客时,用到的第一个文件就是“网站根目录/wp-admin/”下的install.php文件,因为这个就是安装博客的入口文件。

当然很多朋友可能会忽略一个问题,就是install.php文件的权限问题,也就是说,博客安装完成后这个文件有没有存在的必要?如果保存会不会给网站产生漏洞?

那么,在博客安装完成后是否可以继续执行install.php文件进行博客的重复安装呢?大家不用担心这个问题!

大家可以试试输入“域名/wp-admin/install.php”,就会提示“您的WordPress看起来已经安装妥当。如果想重新安装,请删除数据库中的旧数据表。”也就是说这里需要重新配置安装文件,才可以实现重新install.php的安装功能。

WordPress如何重新安装?

这里大家可能又会遇到一个问题,就是我怎么重新配置才能实现Wordpress的重新安装啊?这里分两种情况,一种是打算清空网站全部数据,这里只要重新上传Wordpress安装包,然后解压正常安装即可。第二种就是不知道什么自己修改了Wordpress的配置文件,导致程序错误,但是又想保留网站数据,这种解决方法也不难,安装下面说的做就可以实现程序重装和网站数据恢复。用wordpress建立网站后,程序会在网站管理目录web/wp-admin/下生成一个install.php文件。这个文件是安装程序中的支持文件,只在安装时会调用,当程序释放后就失去了作用,删除并不影响网站功能。这就如同下载的exe格式的可执行文件,安装到电脑后,下载的exe安装文件是可以删除的,并不影响程序的运行。此目录包含了危险的功能或信息,黑客有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。所以,我们有必要对这个文件进行处理,以保证整个网站的安全。那么,我们需要怎么做呢?重装步骤:

1、进入phpmyadmin,导出数据库。事先若能用wordPress Database
Backup备份数据库也可以。备份的时候,不要忘了/wp-content/uploads文件夹下的东西,另外就是要注意在结构中勾上“添加 DROP TABLE”,勾上“另存为文件”,然后选择压缩模式(一般都是zip和gzip),然后点执行。
2、删除WordPress已安装数据库里所有table表。
3、从文件管理中进入WordPress安装目录,删除config.php和.htaccess这两个记录文件或。
4、浏览器输入你WordPress网址,重装WordPress。填写数据库信息、管理员信息。
5、记住admin密码,进入重装后的WordPress后台,修改admin密码。
6、再次进入phpmyadmin,恢复或导入数据库。
不过这里要提醒大家的是在进行更改程序文件的同时,记得备份数据,否则很容易造成数据丢失,造成无法挽回的后果!

WordPress忘记密码怎么办?

1、使用找回密码功能。WordPress 本身支持邮件取回密码功能,如果管理员账户的电子邮件有效,在后台登录界面,点击“忘记密码?”链接,输入正确邮件地址后,即可收到一封含重置密码的邮件。
2、把WP目录下的wp-config.php文件删除,然后重新访问网站,这会让你重新进行最后一个安装步骤,这样就可以得到新的密码。【参照上面讲述的Wordpress重装】。
3、登录 phpMyAdmin ,找到WP数据库的wp_users表,在这里可以看到默认的用户admin,它的密码是加密过的。这时,我们可以修改这条数据,找到user_pass这个域,把它原来的一长串数据删掉,写上你的密码,比如123456。这时,你会看到一个函数的下拉框,把它选择为MD5。这是为了把你的密码进行MD5算法加密,再保存。这样,再通过你的域名/wp-admin 访问到管理入口,用这个密码就可以登陆了。
4、通过 SQL 语句修改密码。登录 phpMyAdmin 进入 WordPress 数据库并执行以下 SQL 语句【不推荐!有风险】:

update user set password=password(”新密码”) where user=’用户名’;

UPDATE wp_users SET user_pass = MD5(‘PASSWORD’) WHERE wp_users.user_login =’admin’ LIMIT 1;
嗯,如果不成功,大家可以尝试一下第二句。

怎么处理install.php文件?

处理install.php的办法当然不止一种。我们可以选择执行拒绝写入指令或者是修改程序名称,让黑客无法修改或者无法识别这个文件,来达到阻扰黑客的目的。也可以直接删除。

1、执行拒绝写入指令。这个可以在网站空间的控制面板操作,大部分的服务器都支持这种做法,而且很简单,还可以对整个目录做出执行拒绝写入指令。当然了,也可以在ftp端的属性选项进行操作。
2、修改程序名称。我们可以修改前缀,把install修改成任何你想要的名称。也可以修改后缀名,把格式定义为其他任意格式,如把.php改为.xyz。这么做的目的是伪装这个文件,阻扰黑客的识别,反正这个文件又不会影响网站功能,随便我们怎么定义了。【推荐此方法!】
3、清空文件内容。用文本编辑器打开install.php,把里面脚本记录清空然后保存。这样即使黑客获取了这个文件,也无法对安装脚本进行分析。
4、直接删除。这是最直接有效的方法,也是推荐与首选。前面说了,这个文件只在网站程序载入空间服务器时需要调用,不然无法完成安装。但是安装完成后,就完成了它的使命,同时也失去了它的作用。删除它的另一个好处是,可以为服务器节省一丁点空间。
好了,就谈这么多,希望对大家有点帮助,毕竟Wordpress安装的过程中能够遇到的问题就这么几种:1、Wordpress重装2、Wordpress忘记密码3、处理install.php文件


喜欢 (0)
[搞代码]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址