最近、ウェブサイトがハッキングされ、次のような PHP コードが index.php ファイルに挿入されました。
eval (gzinflate(base64_decode('s127ezsS/...bA236UA1')));
このコードにより、別の PHP ファイル (cnfg.php) が含まれ、医薬品関連のスパムが表示されていました (ただし、googlebot などにのみ表示されます)。これは、WordPress を実行していないことを除けば、WordPress に対する製薬会社のハッキングのように見えます。コードは削除されましたが、今後このようなことが起こらないようにしたいと思います。
これは非常に広範な問題であり、責任を負う可能性のある無数のセキュリティ ホールが存在する可能性があることは理解していますが、過去にそのような問題を経験したことがある人のために、これを公開すると思いました。
これらの PHP ファイルのアップロードを可能にする潜在的なセキュリティ ホールにはどのようなものがありますか? また、今後このようなことが起こらないようにするにはどうすればよいでしょうか?