Как убрать уязвимости в php скриптах?

Question

[mtclwn]

В ходе проверки файлов на хостинге timeweb антивирус обнаружил "уязвимости в PHP-скриптах".

САЙТ1/public_html/wp-content/plugins/contact-form-7/includes/САЙТ2/docs/wp-admin/plugins.php

- это я так понимаю, связано с конкретным плагином и возможно, поможет обновление.

САЙТ1/public_html/wp-includes/sodium_compat/src/Core/SecretStream/САЙТ2/docs/wp-includes/post-template.php

- а с этим не знаю что делать.

В письме, которое пришло с хостинга много таких строчек, связанных с разными сайтами.

Comments

[mletov]

Ну так обновите все по максимуму, версию CMS и плагины

[mletov]

m0ze, Если заражен - скорее всего да и придется еще и с антивирусами колдовать.
Но тут автор пишет, что "найдены уязвимости", т е пока это только потенциальные дырки, а не заражение.

Answer 1

[Dimonchik]

в Wordpress каждая найденная уязвимость - предпоследняя

Comments

[mletov]

Как и в любой другой CMS)))

[Nixtone]

mletov, это точно, только вот wp это эталон дерьма и доски позора с подписью "Радиоактивно".

[Nixtone]

m0ze, потому что она имеет популярность благодаря маркетологам а не экспертному мнению, имеет весьма скудную гибкость и слишком перекормлена JS'ом в угоду кнопочности.

Всем остается лишь согласиться ее использовать и часто по причине неосведомленности разрабов, что можно куда лучше.

Answer 2

[fStrange]

Наличие уязвимости еще не означает что ее можно реализовать на данном конкретном сайте.

Но общая рекомендация в случае WP, это да обновить вп\плагин с уязвимостью до последних версий.
Если это невозможно читать доки про конкретную уязвимость и закрыть по факту, ну и прикрыться каким нибудь плагином c функциями файрвола типа Wordfence, от некоторых видов атак спасет.

Answer 3

[Refguser]

/public_html/wp-content/plugins/contact-form-7/includes/САЙТ2/docs/wp-admin/plugins.php

Нет такого пути в плагине.
У тебя дыра на сайте или сервере.
Инструкция по выявлению.