Apache / PHPでコードインジェクションを防ぐ最善の方法は何ですか？

Question

最近VPSでwordpress=を設定しましたが、それは継続的な攻撃を受けています。ブルートフォース攻撃から保護するためにいくつかの対策を講じましたが、一部のログを見ると、もういい。

以下は、Apacheログに表示される多くの大まかな要求の1つです。

12x.24x.3x.45 - - [30/Oct/2017:20:34:24 +0000] "GET http://4x.9x.23x.250:58204/jsip.php?zl=IP&IP=3x.18x.24x.19x&DK=80&DD=RZLWHADALAHBNPRL HTTP/1.0" 301 395 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER"

私が理解できる限り、攻撃者はPHPコードをリモートサイトから挿入して実行しようとしています。サーバーは301（永久に移動）で応答し、応答には395バイトが含まれていました。

サーバーをそのようなリクエストの処理からどのように保護できますか？

そのような値を拒否する.htaccessルール？
そのようなリクエストを拒否するためにApache mod rewrite？
アプリケーションロードバランサーからサニタイズしますか？
Apache/PHP/Wordpressはそのようなリクエストに対して脆弱ですか？

彼らはすでにこの保護を受けるべきではないでしょうか。私はそれらに依存してリラックスできますか？そうでない場合、どれほど多くのWordpressサイトがまだ稼働しているのか理解できません。それらのサイトの多くはおそらくサイトでセキュリティの専門家が働いていなかったと想定しています。

Steffen Ullrich · Accepted Answer

... "GET http://4x.9x.23x.250:58204/jsip.php?zl=IP&IP=3x.18x.24x.19x&DK=80&DD=RZLWHADALAHBNPRL HTTP/1.0" 301 395 ... 
私が理解できる限り、攻撃者はリモートサイトからphpコードを挿入して実行しようとしています...

ここには注射の試みは見られません。これは、誰かがhttp://4x.9x.23x.250:58204/...に到達するためのプロキシとしてサーバーを使用しようとしているように見えます。オープンプロキシを見つけるためにインターネットをスキャンしている人かもしれません。システムがオープンプロキシとして構成されていない限り、これを心配する必要はありません。つまり、このリクエストを、インターネットからシステムにアクセスできる場合に発生する通常のノイズとして扱います。

Conor Mancone · Answer

「リラックス」が正解かどうかはわかりませんが、問題の明らかな兆候はないと思います。これをインターネットのナンバーワンのルールへの導入と考えてください。インターネット上にある場合、脆弱性がないか常にスキャンされます。

最善の防御策は簡単です。サードパーティのソフトウェアを使用している場合は、まだメンテナンスされているソフトウェアのみを使用し、alwaysそれを最新の状態に保ちます。 PHP、Apache、およびwordpressは十分にサポートされており、セキュリティ更新が頻繁に行われるため、更新を維持している限り、ドライブバイアタックから心配する必要はありません。

ただし、独自のソフトウェアの作成を開始する場合は、Webアプリケーションのセキュリティに精通していることを確認してください。

独自のサーバーを管理している場合も同じことが当てはまります。サーバーの強化について少し読んでも害はありません。ほとんどの場合、不要なサービスを無効にし、サーバーを最新の状態に保ち、ファイアウォールでロックします。それでも、それは単なるハイライトなので、サーバーを制御している場合は、サーバーを保護する方法について学ぶのに少し時間を費やしてください。

Wordpressは、（私の経験から）セキュリティの悪用の長い歴史があるため、簡単に言及する価値があります。その結果、それを最新に保つことは非常に重要です。自分のサーバーログを調べて、ハッキングの試みがどのように見えるかを確認すると、実際の多くは、古いバージョンのワードプレスの既知の脆弱性を標的にしています。私の最後の仕事では、ハッキングの場合の損傷を最小限に抑えるために、自分のサーバーで管理したカップルwordpressサイトをホストしていました。そのサーバーは実際には一度ハッキングされましたが、侵入は技術的にワードプレスではありませんでした。実際には、サイト所有者がインストールしたwordpress拡張機能でした。私はwordpressを信頼していません。 =自分で拡張ストアを作成します。ただし、自分で安全に変更する方法がわからない場合は、多くの場合、物事を成し遂げる必要があります。wordpress安全なWebアプリケーションコードの記述方法がわからない他のコードをチェックして安全かどうかを確認する方法もわからない。