Daniel Bradbury Dočekal Jsem Linuxová i WordPressová lama, vůbec se tím nehodlám tajít. Zprovoznit Debian virtuální server s WordPressem je po dlouhé době konečně něco opravdu zábavného. Možná i proto, že to není něco co musím, protože za to někdo platí a chce vidět výsledek.
Včera jsem přihodil další instalaci WordPressu pro JustIT.cz (po oživení FeedIT.cz dojde i na oživení téhle adresy) a už se nedostal dál než k “nahození”. Volala koupě vysavače a tomu zábavné věci, říkal jsem si (naivně) že počkám až se změní DNS a IGNUMu navíc ještě padal virtuál – a pak jsem našel na JustIT.cz vzkaz z 109.231.130.246 – někdo zneužil (no spíš využil) WordPress Exploit (install.php) Any Version a dokončil instalaci za mě.
A má samozřejmě pravdu, opravdu není chytré dát odkaz ven na web a přitom nemít ani pořádně nainstalovaný WordPress.
Díky, jsem opět o kousek chytřejší. A o to tady přesně jde.
Pokud vás potká něco podobného, tak vězte, že než začnete podnikat kouzla s WordPressem, tak je dobré znemožnit přístup k install.php z jiné adresy, než právě té vaší. Případně nad to nahodit ještě extra přihlášení na úrovni Apache. Až se potřeby používat install.php zbavíte, tak je dobré ho smáznout (přesunout, přejmenovat, atd). Je potřeba jenom k tomu, abyste po nastavení WordPress instalace na úrovni příkazové řádky v Linuxu dokončili nastavení založením admin účtu a zbytku věcí.