Vụ này tôi biết đến nó cũng vài năm về trước rồi, nhưng không hiểu sao các dev của wordpress lại không hạn chế hay có thêm ràng buộc nào để cải thiện đôi chút an toàn cho người dùng.Vốn dĩ khi đã vào được Dashboard thì mọi thứ coi như chấm dứt rồi nhưng cũng có lúc vì bị chặn mà không thể chỉnh sửa template hay upload plugin mới dạng .zip có kèm mã độc trong đó, và đây là cách giải quyết vấn đề.
Yêu cầu:
- Có tài khoản của quản trị và login vào Dashboard.
Thực hiện:
- Vào link sau để thấy form upload: /wp-admin/plugin-install.php?tab=upload
- Chọn và upload file.php bất kỳ như lúc upload plugin.zip.
- Bỏ qua các thông báo lỗi.
- Tìm link file mới upload lên: /wp-content/uploads/Year/Month/file.php
- Vd: /wp-content/uploads/2016/09/file.php
Kết thúc.
Concobe
thêm vào wp.config.php
Trả lờiXóadefine('DISALLOW_FILE_MODS',true);
Thì đâu làm gì nữa đâu a Cò @@
p/s: quỷ lệ
Những ai không có nhu cầu thì có thể disable được, còn đa phần người dùng toàn để default và hay upload tùm lum :)
Xóa