• michaelwieden

    (@michaelwieden)


    Hallo zusammen,

    aktuell habe ich ein Problem mit einer Malware, die mir ständig über 18.000 .ttf-Files (sind KEINE Fonts) sowie Dateien mit dem Namen „Placeholder … .png“ in den Mediaordner schaufelt. Ich hatte das schon einmal, jedoch damals in den Griff bekommen (System Neuinstallation). Wo das Leck liegt, muss ich noch rausfinden.

    Neben anderen Maßnahmen, möchte ich die Uploadmöglichkeit in den Mediaordner einschränken. Hierzu suche ich Möglichkeiten, wie ich entweder

    • den upload bestimmter Dateiendungen in den Mediaordner blockieren kann
    • oder für einen Ordner generell eine Blacklist für Dateitypen oder Dateinamen anlegen kann.

    Für ersteres habe ich schon ein Plugin gefunden, was aber uralt ist.

    Hat jemand eine Idee? Schon jetzt vielen Dank für ein Feedback.

    Viele Grüße

    Michael

    • Dieses Thema wurde geändert vor 1 Jahr von michaelwieden. Grund: Neuer Titel

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Moderator Michi91

    (@michi91)

    Naja, man kann schon die dateitypen begrenzen, aber ich glaube nicht dass die malware den regulären Media uplaod benutzt und dann bringt dir das nichts

    Thread-Starter michaelwieden

    (@michaelwieden)

    Danke dir für deine Feedback.
    Korrigiere mich, wenn ich falsch liege. Aber wenn ich über andere Wege als den Media-Upload (z.B. FTP) Dateien in den Medienordner spiele, werden diese nicht unter „Media“ angezeigt, da der Pfad nicht in der Datenbank erscheint.
    Es muss also ein Weg sein, der auch zu einem entsprechenden Eintrag in der Datenbank führt.
    Idee war auch, den Ordner selbst entsprechend (Analog z.B. der Zugriffsrechte) einzuschränken. Keine Ahnung ob das geht … deswegen auch meine Frage.

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    du kannst zwar z. B. zu diesem Zweck ein Plugin wie z. B. Restrict WP Upload Type verwenden.

    Alternativ kannst du auch den folgenden Code in die funtions.php deines Child Themes packen oder über das Plugin Code Snippets verwenden:

    function wpse_restrict_mimes($mime_types){
        $mime_types = array(
            'jpg|jpeg' => 'image/jpeg'
        );
        return $mime_types;
    }
    add_filter('upload_mimes', 'wpse_restrict_mimes');

    Quelle: https://wordpress.stackexchange.com/questions/359862/restrict-image-uploads-to-a-certain-file-type

    Siehe auch hier

    Aber ob das damit verhindert wird, würde ich bezweifeln, weil du damit zwar möglicherweise den Upload verhinderst, aber nicht die offenbar vorhandene Sicherheitslücke schließt.

    Viele Grüße
    Hans-Gerd

    Thread-Starter michaelwieden

    (@michaelwieden)

    Hallo Hans Gerd,

    vielen Dank für dein Feedback. Zunächst … dieser Schritt ist nur ein Bestandteil meiner Maßnahmen die ich aktuell ergreife. DIe Ursache soll natürlich beseitigt werden!

    Das mit dem Plugin hatte ich auch überlegt, aber ich bin immer etwas skeptisch mit Plugins die keine Bewertungen haben … wobei mir klar ist, dass das nicht bedeutet, dass es nicht funktioniert. Bin nur gebranntes Kind! Sollte es aber mal ausprobieren … lieber wäre mir halt, wenn ich den Ordner direkt serverseitig entsprechend einschränken könnte. Bin da aber kein Profi.

    Das Skript ist auch interessant, ich verstehe das als Inklusiv-script, ich muss also alle Formate die ich erlauben will, einbinden und kann nicht Formate ausschließen. <

    Danke auf jeden Fall! 🙂

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,

    ich verstehe das als Inklusiv-script, ich muss also alle Formate die ich erlauben will, einbinden und kann nicht Formate ausschließen.

    ja, richtig. Reicht an sich ja auch.

    Viele Grüße
    Hans-Gerd

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Das Thema „Ordner-Beschränkungen für bestimmte Dateiformate“ ist für neue Antworten geschlossen.