WordPress 使创建网站变得非常容易,并鼓励来自不同背景的人们拥有在线形象。
在创建您自己的网站时,一定要确保 WordPress 的安全。您想做的最后一件事就是有一天早上醒来,发现您的网站已被黑客入侵,您所有的增长和 SEO 努力都被浪费了。
由于 WordPress 的成功以及主题和插件,黑客倾向于使用 WordPress。如果他们发现某个插件存在缺陷,几乎所有启用该插件的网站都可能被轻易滥用。
以 Elementor 和 Ultimate Addons 中的最新错误为例。据估计,自该漏洞被发现以来,已有超过 100 万个使用 Elementor Pro 的网站和 110,000 个带有 Ultimate Addons 的页面被曝光。插件中的一个小故障允许授权用户将任意文件上传到远程代码执行 (RCE) 网站。黑客可以利用它来获得并保留对 WordPress 的完整功能访问权限。
同样,在“Slider Revolution”插件中,存在一个 LFI 漏洞,使得黑客可以从不安全的 WordPress 页面下载 wp-config.php。这导致了数据库详细信息、加密密钥和其他有关网站设置的机密信息的泄露。这以前称为 wp-config.php hack。
在本文档中,我们将讨论黑客和恶意软件可能攻击您的 WordPress 帐户的所有重要文件和位置。
1) WordPress hack wp-config.php
对于WP安装,wp-config.php是必不可少的文件。 Web 使用的配置文件充当数据库和 WP 文件系统之间的接口。 wp-config.php 文件包含敏感材料,例如:
- 主机数据库
- 密码、用户名和ports No.
- 数据库名称
- WordPress Protected Key
- 数据库表前缀
由于其重要的性质,它是黑客的共同目标。 2016 年 11 月,在 Revolution Picture Slider 插件中发现了一个严重错误。如果黑客从 wp-config.php 漏洞中获取数据库登录信息,他们将尝试链接到数据库并为自己设置一个假的 WP 管理员帐户。
http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
这是一个 LFI(本地文件包含)黑客,使黑客能够下载 wp-config 文件。这提供了一个网站,可以直接访问它们的档案。黑客会接触到机密数据,如用户凭据、电子邮件 ID、目录、照片、来自 WooCommerce 的交易信息等。他们还可以安装脚本,如 Filesman 后门,以提供对 WordPress 帐户的持久访问。
2) WordPress Index.php 被黑了
index.php 文件是 WordPress 上每个网站的入口点。由于此代码在您网站的每个页面上运行,因此黑客可以插入影响您整个网站的恶意代码。
例如,pub2srv 恶意软件和 Favicon 恶意软件黑客以 index.php 文件为目标。 Astra Security 的研究人员追踪了这种广泛传播的恶意软件重定向活动,并发现了诸如 @include "x2f/sgb x2ffavi x63on_5 x34e6ed x2eico" 之类的恶意代码应用于 index.php 文件;以及下面截图中的代码:
发现恶意代码已被插入到 WordPress 安装的 index.php 文件中
index.php 文件后来更改为 index.php.bak,迫使网站在根本没有加载的情况下崩溃。
在 index.php 文件中,此类恶意代码会导致网站访问者看到奇怪的弹出窗口、商业广告,甚至被路由到其他垃圾页面。将此文件的内容与 WordPress 发布的初始副本进行比较以修复此类黑客攻击。
3) WordPress .htaccess 文件被黑
.htaccess 文件通常位于 WordPress 站点的主页位置,可帮助根据站点要求配置服务器设置。这通常出现在运行 Apache 的服务器中。 .htaccess 文件是非常强大的组件,用于控制 Web 服务器的性能和行为。它还可用于控制您网站的安全性。以下是 .htaccess 文件的一些常见用途:
- Restricting access to certain site folders
- Configure the maximum网站内存使用情况
- Build Redirect
- HTTPS Control
- 缓存管理
- 防止部分脚本注入攻击
- 最大文件上传大小控制
- 防止机器人找到用户名
- 热链接块图像
- 控制自动文件下载
- 管理文件扩展名
但是,这些特性可以用来提取点击。为了重定向用户,.htaccess 文件通常会加载恶意代码。它通常用于检查发送给消费者的垃圾邮件。例如,参见下面提供的代码:
RewriteEngine 开启 RewriteOptions继承< span class="hljs-nomarkup">RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*google.*$ RewriteCond %{HTTP_REFERER} .*msn.com*$ RewriteCond %{HTTP_REFERER } .*bing.com*$ RewriteCond %{HTTP_REFERER} .*live.com*$ RewriteCond %{HTTP_REFERER} .*aol.com*$
在最后一行中,恶意代码用户流量正在从站点重定向。结果,tohttp:/MaliciousDomain.tld 被重定向到用户。然后,thebad.php 脚本尝试加载。如果您注意到由于被黑的 .htaccess 文件而从您的站点进行异常重定向,则很有可能。但是,如果您找不到该文件或者它是空的,请不要惊慌,因为它不是必需的(除非您使用漂亮的 WordPress URL)。
4) WordPress footer.php 和header.php(WordPress 主题被黑文件)
每个 WordPress 主题都有一个名为 footer.php 和 header.php 的文件,其中包含网站的页脚和页眉代码。该区域包含在整个站点中保持不变的脚本和某些小部件。例如,网站底部的共享小部件或社交媒体小部件。有时可能只是版权信息、信用证等。
因此,这两个文件是攻击者可以破解的关键文件。它通常用于重定向恶意软件并显示垃圾邮件内容,就像“重定向恶意软件”digestcolect[.com] 一样。
其中一些已被解码,黑客被发现利用浏览器 cookie 来识别用户并向他们展示恶意广告等。
此外,在另一个实例中,攻击者将 JavaScript 代码注入到所有扩展名为 .js 的文件中。由于大量感染,此类黑客往往变得难以清除。
5) WordPress.php 功能被黑
在主题文件夹中,功能文件就像插件一样。这意味着它可用于向您的 WordPress 站点添加附加功能。您可以将 filefunctions.php 用于:
- WordPress 调用事件/函数
- 调用 PHP 本机函数。
- 或者描述一下自己的功能。
任何主题都有一个 functions.php 文件,但重要的是要记住在任何给定时刻只有一个 functions.php 文件在运行,即活跃的主题之一。因此,在Wp-VCD后门攻击中,functions.php文件是攻击者故意攻击的。这种恶意软件(例如 Pharma 和日本 SEO 垃圾邮件)会创建新的管理员并在网站上注入垃圾页面。
从上面的代码可以清楚的看出,软件包含了class.theme-modules .php 软件。然后可以使用此文件(即使禁用)将恶意软件注入到您网站上构建的其他主题中。这会创建新用户和后门。即使文件已被擦除,这也允许攻击者访问该站点。
6) 被黑的 WordPress wp-load.php WordPress
WordPress平台的重要文件是wp-load.php。文件 wp-load.php 引导 WordPress 环境并允许插件访问原生 WP 的关键功能。正如 China Chopper Web Shell 勒索软件所示,许多恶意软件变体通过生成恶意 wp-load 存档来感染 WordPress 页面。通常的操作是在服务器上开发一个类似wp-load-eFtAh.php的文件。由于名称与原始文件的名称匹配,因此登录 FTP 不会很奇怪。这些文件可能有以下代码:
这段代码可以帮助入侵者在网络上传递黑客提交的参数运行每个 PHP 代码。可以使用此漏洞实施有害指令。 http://yoursite/your.php?命令,例如 pass = system("killall -9 apache");" 可能会终止 Web 服务器的进程。这将导致整个服务器关闭。不要以长度判断此代码,因为它不够安全,无法监控远程您的服务器。
7) 很多类- wp-cache.php 服务器文件
我们已经看到 cPanel 和整个网络服务器在最近的黑客攻击中获得了数百万甚至数千个 class-wp-cache .php 文件。这些恶意文件会危害网站的每个文件夹,包括主文件。网站代码中的漏洞为黑客打开了大门,并且通常是这种感染的来源。
