wordpress是什么？

wordpress作为一款内容管理程序，适用于任务类型网站，旨在为每个用户提供在线内容发布功能，并提供任务种类的内容信息共享，其插件库和主题库也在不断扩展中。

此外，wordpress拥有灵活的插件架构和模板系统，满足了所有人对博客从功能到形式的需求，使得wordpress的用户遍布全球。

同时，wordpress使用开源php语言代码文本，始终免费为用户提供服务，同时也不断优化添加其功能，更新和改进核心代码，以适应用户需求。

wordpress与社区的开发人员合作，让它变得更安全，然而一个不小心，就有恶意插件混了进来。

利用二进制文件挖掘加密货币

狸猫换太子，攻击者使用伪造的插件冒充wordpress公共存储库中的插件，使用同样的名称来迷惑用户的视线，只需要对合法插件的代码进行恶意修改就可以完成，目前已被发现有400多次安装。

一旦用户下载此插件，攻击者就可获取服务器的访问权限，同时还可以运行linux二进制文件的代码挖掘加密货币。

即使删除感染媒介也无济于事，依然可以使攻击者访问服务器并在博客上加密内容。

伪造插件暗藏恶意后门

除了上述插件之外，攻击者还在wordpress网站上安装恶意后门来获取权限，并上传web shell和脚本来强行控制其他站点。

恶意插件主要克隆wordpress的合法插件，以其受欢迎的功能来吸引用户下载，实际上会在下载的过程中安装后门。

攻击者利用后门通过post请求能够将出于恶意目的的任意文件上传到受感染网站的服务器。

文件上传功能

这些文件包含下载位置信息，获得文件路径以及文件的相关参数。

此外，攻击者还将web shell（恶意脚本提供对服务器的远程访问）放在受感染服务器的随机位置，使攻击者能够对其他网站发起ddos和暴力攻击，以轻松获得目标站点的大量登录凭证。

这些伪造插件使wordpress面临安全风险，用户使用时还需小心谨慎。

* 本文由看雪编辑 lya 编译自 bleeping computer，转载请注明来源及作者。

声明：
1，本站分享的资源来源于用户上传或者网络分享，如有侵权请邮件联系站长！
2，本站软件分享目的仅供大家学习和交流，请不要用于商业用途，下载后请于24小时后删除!
3，如果你也有好的源码或者教程，可以投稿到本站！
4，本站提供的源码资源部不包含技术服务请大家谅解！
5，如有链接无法下载，请联系站长！
6，特别声明：仅供参考学习，不提供技术支持，建议购买正版！如果源码侵犯了您的利益请留言告知！！