Edite ou remova o plugin .htaccess usando o painel de administração

4

Eu estou procurando uma maneira de editar ou redefinir o arquivo .htaccess para um site wordpress sem acesso ao sistema de arquivos, trabalhando apenas com a interface web wp-admin e / ou plugins * (veja abaixo a história de fundo se você está interessado ou acha que é relevante).

Uma pesquisa rápida no WordPress SE revelou algo promissor:

Plugin para editar o arquivo htaccess

Eu tentei instalar ambos os plugins sugeridos, mas nenhum deles funcionou ** (veja abaixo a explicação de porque esses plugins não funcionaram, se você acha que é relevante).

E pesquisando no google, a única outra opção promissora que encontrei é um plugin chamado "WP htaccess Editor", que afirma fazer exatamente o que eu quero - basta fornecer um editor de texto direto para o .htaccess . Mas não consigo instalar este plugin. Quando tento, ele falha, dizendo

  

"Não foi possível criar o diretório. wp-content / upgrade / wp-htaccess-editor.1.1.12 / wp-htaccess-editor".

Como posso alterar ou remover um arquivo Plugins .htaccess de dentro da Interface Admin do WordPress?

* Voltar história

Meu amigo descobriu recentemente que seu site WordPress foi comprometido, contendo redirecionamentos de malware. Ela não sabe onde está hospedada ou quem a está hospedando. Aparentemente, alguém a configurou para ela há vários anos, e ela não conseguiu contatá-lo recentemente. Então, estou preso trabalhando apenas com a interface web wp-admin.

Usando um plugin chamado "BackupBuddy", consegui baixar uma cópia do site deles e descobri a origem do malware. O .htaccess contém redirecionamentos para sites de malware.

O problema é que eu não posso para a vida de mim descobrir como remover essas linhas. Novamente, eu não tenho acesso ao sistema de arquivos (eu gostaria de ter feito, seria uma correção tão simples).

** Explicação de por que os plug-ins que eu tentei não funcionaram:

Em primeiro lugar, a interface administrativa do plugin wordpress para a maior parte não funciona para mim, porque quase todas as páginas (incluindo as páginas de instalação do plugin) redirecionam por causa das linhas de malware no htaccess. Felizmente, o método de instalação do plugin "upload zip file" ainda funciona, e foi assim que instalei os plugins.

Quando experimentei o primeiro plugin listado ("WP htaccess Control"), ele me permitiu acessar as configurações do plugin, preencher todas as opções e até me mostrou a saída resultante que supostamente seria gravada em .htaccess (e a saída parecia bem). O problema é que clicar em "Salvar alterações", embora relatando sucesso, parece não fazer nada com os redirecionamentos. Outro download via parceiro de backup confirmou que o arquivo .htaccess não foi modificado.

O segundo plugin ("All-in-one htaccess Plugin") é um Catch-22; Antes de fazer qualquer coisa, é necessário iniciar uma série de testes, mas clicar no botão "Iniciar testes" na página de configurações do plug-in leva a uma página redirecionada para a página de malware pelo .htaccess . Então é impossível eu usar este plugin.

    
por Ben Lee 11.07.2012 / 20:05

2 respostas

8

Você pode excluir arquivos por plug-in se o usuário PHP do servidor tiver permissões de gravação. O truque é excluí-lo imediatamente após a ativação. Aqui está um código de exemplo básico:

<?php # -*- coding: utf-8 -*-
/**
 * Plugin Name: Delete .htaccess
 * Description: Deletes the .htaccess file on activation, deactivates itself then.
 * Plugin URI:  http://wordpress.stackexchange.com/q/58183/73
 *
 * Delete .htaccess, Copyright (C) 2012 Thomas Scholz
 */

register_activation_hook( __FILE__, 'wpse_58183_delete_htaccess' );
add_action( 'admin_notices', 'wpse_58183_admin_notice' );

function wpse_58183_delete_htaccess()
{
    $root = trailingslashit( $_SERVER['DOCUMENT_ROOT'] );
    unlink( $root . '.htaccess' );
}

function wpse_58183_admin_notice()
{
    echo '<div class="updated"><p><code>.htaccess</code> deleted.<br>Plugin deactivated.</p></div>';
    deactivate_plugins( basename( __FILE__ ) );
}

Faça o download como arquivo ZIP ou veja o código no GitHub .

Mas mova o site para outro servidor! Contanto que você não consiga controlar os arquivos por SSH ou FTP, o site será hackeado novamente.

    
por fuxia 11.07.2012 / 20:34
1

Realmente não há muitas opções. (que eu pessoalmente conheço). Se você está limitado ao wp-admin, isso é o que eu faria: veja se você pode encontrar quem está hospedando e veja se você pode encontrar um endereço IP de hospedagem ou entrar em contato com alguém. Em primeiro lugar você pode executar um whois no domínio? Às vezes, as informações de contato são listadas aqui. Se as informações de contato do seu amigo estiverem lá, tente acessar whoishostingthis.com e digite o domínio para ver quem é o host e sobre como contatá-lo. A maioria das empresas de hospedagem compartilhada pode ajudá-lo de alguma forma. Por fim, conheço algumas pessoas que usam a Sucuri Security para remover malware de sites com grande sucesso. No entanto, ele irá devolver $ 89 ao seu amigo.

    
por Matt Sawyers 11.07.2012 / 20:23