il mio sito wordpress è stato improvvisamente violato tramite wp-config.php. Non ho mai conosciuto questo tipo di attacco. Quando scrivo il mio sito, wpscan mette in guardia contro questi errori:
Come posso proteggere il mio sito da questo attacco? Aiuto per favore! Grazie in anticipo!
Rimuovi wp-config.txt , wp-config.php.original , ecc. (ma non wp-config.php !)
Se questi file non esistono, allora è un bug nello scanner. Se il file contiene password (come una password del database), modificale immediatamente.
Come il tuo Wordpress è stato violato e come sono stati creati quei file è indovinato da nessuno. Ogni plugin Wordpress installato può essere vulnerabile, così come Wordpress stesso. Oppure potresti avere una password debole per ftp, il pannello di amministrazione di Wordpress o qualcos'altro. Anche il tuo hosting potrebbe essere compromesso.
Assicurati che l'installazione di Wordpress e tutti i plug-in siano aggiornati, e non installare plug-in non fidati (come quelli con recensioni ridotte o assenti).
Leggi altre domande sui tag wordpress web-application attack-prevention