mi sitio de wordpress puede ser hackeado a través de wp-config.php. Nunca he conocido este tipo de ataque. Cuando escaneo mi sitio, wpscan advierte contra estos errores:
¿Cómo puedo proteger mi sitio de este ataque? ¡Ayuda por favor! ¡Gracias de antemano!
Eliminar wp-config.txt , wp-config.php.original , etc. (pero no wp-config.php !)
Si esos archivos no existen, entonces es un error en el escáner. Si el archivo contiene contraseñas (como una contraseña de base de datos), cámbielas inmediatamente.
La forma en que se piratearon tus Wordpress y cómo se crearon esos archivos es una suposición. Cada complemento de Wordpress instalado puede ser vulnerable, al igual que Wordpress. O puede tener una contraseña débil para ftp, el panel de administración de Wordpress o algo más. Incluso su alojamiento puede ser hackeado.
Asegúrese de que su instalación de Wordpress y todos los complementos estén actualizados, y no instale complementos que no sean de confianza (como los que tienen pocas o ninguna revisión).
Lea otras preguntas en las etiquetas web-application attack-prevention wordpress