Pliki archiwalne i kopie zapasowe w katalogu głównym
Co to oznacza
Jeśli w katalogu głównym Twojej strony WordPress znajdują się pliki archiwalne — np. .sql, .zip, .tar.gz, .rar, .7z lub .bz2 — masz poważny problem bezpieczeństwa. Są to najczęściej kopie zapasowe bazy danych, archiwalne paczki strony lub pliki pozostawione po migracji.
Jakie jest ryzyko
To jedno z najpoważniejszych zagrożeń, jakie może wystąpić na stronie WordPress:
- Wyciek bazy danych — plik
.sqlw katalogu publicznym to kompletna baza danych do pobrania: hasła użytkowników, dane osobowe, treści, konfiguracja. Wystarczy znać nazwę pliku. - Wyciek kodu źródłowego — archiwum
.zipz kopią strony zawierawp-config.phpz danymi dostępowymi do bazy, kluczami bezpieczeństwa i potencjalnie innymi wrażliwymi konfiguracjami. - Automatyczne wyszukiwanie — boty systematycznie testują popularne nazwy plików:
backup.sql,db.sql,wordpress.zip,backup.tar.gz,dump.sql. To nie jest atak ukierunkowany — to masowy skan. - Indeksowanie przez Google — pliki mogą trafić do wyników wyszukiwania, jeśli katalog nie jest chroniony przed indeksowaniem.
Jak to naprawić
- Natychmiast usuń pliki — przenieś je poza katalog publiczny (
public_html) lub pobierz lokalnie i usuń z serwera. - Sprawdź, czy nie wyciekły dane — jeśli plik
.sqlbył publicznie dostępny, załóż, że dane zostały skompromitowane:- Zmień hasła do bazy danych
- Zmień klucze bezpieczeństwa WordPress
- Zmień hasła użytkowników
- Zablokuj pobieranie archiwów na poziomie serwera:
# .htaccess <FilesMatch "\.(sql|zip|tar|gz|bz2|rar|7z)$"> Order Deny,Allow Deny from all </FilesMatch> - Kopie zapasowe przechowuj poza serwerem — używaj zewnętrznego storage (S3, Google Drive, dedykowany backup) zamiast katalogu strony.