#漏洞#

wordpress 安全插件的最新漏洞

wps 隐藏登录暴露了用户的秘密登录页面，影响了大约 160 万个网站！

美国政府国家漏洞数据库将该漏洞评为高级漏洞利用，在 1 到 10 的范围内给予其 7.5 分，其中 10 分别代表最高威胁级别。该漏洞允许恶意黑客破坏插件的目的（隐藏登录页面），从而使站点暴露于解锁攻击中。该漏洞完全破坏了插件本身的预期目的，即隐藏 wordpress 登录页面。wps hide login 安全插件通过隐藏管理员登录页面并使用 wp-admin 目录无法访问来阻止黑客尝试访问 wordpress 站点。超过一百万个网站使用 wps 隐藏登录来增加更深层次的安全性。

攻击 wordpress 网站默认登录页面的黑客和黑客机器人实际上并不需要插件。完成同样事情的一种更简单的方法是将 wordpress 安装到具有随机名称的目录文件夹中。登录页面黑客机器人会寻找正常的登录页面，但它并不存在于预期的 url 位置。登录页面实际上隐藏在 /random-file-name/wp-login.php 中，而不是存在于 /wp-login.php 中。

wps hide login 插件的发布者通过修补漏洞更新了插件。登录机器人始终假定 wordpress 登录页面位于默认位置，因此它们从不去其他位置寻找它。wps 隐藏登录 wordpress 插件对于已经在根目录中安装了 wordpress 的站点非常有用，例如 example.com/。受影响插件的用户应更新到最新版本 1.9.1，以隐藏他们的登录页面。

v.1.9.1的致命bug

此插件 (v.1.9.1) 仅隐藏通过 url 直接访问的页面。如果您的网站上有搜索框和原页面（登录、注册、会员等），则可以在您的网站上搜索字符串“登录”并找到隐藏的登录页面。请记住将登录页面的名称更改为其他名称。也可以更改所有页面的标题，例如“注册”和“重置密码”。如果您有多种语言设置，请记住对每页的所有语言执行此操作。

一旦黑客已经知道它，你还需要更改 page_id 号。最安全的做法是的是删除那些原页面。

主题网普通

收藏 链接