当前位置：首页 > 建站教程 >

黑客试图在受到攻击的 WordPress 网站创建管理员帐户(WordPress无插件纯代码实现注册验证拒绝恶意注册)

GG网络技术分享 2025-03-18 16:13 42

黑客试图在受到攻击的 WordPress 网站创建管理员帐户

WordPress

作者/来源：安华金和

一个黑客组织利用十多个 WordPress 插件中的漏洞，试图在互联网上的 WordPress 网站上创建流氓管理员帐户。

这些攻击是上个月开始的黑客攻击活动的升级部分。在之前的攻击中，黑客利用相同插件中的漏洞在被黑网站上植入恶意代码。此代码旨在显示弹出广告或将访问者重定向到其他网站。然而，两周前，这些袭击背后的团体改变了策略。网络安全公司 Defiant 的威胁分析师 Mikey Veenstra 告诉 ZDNet，从 8 月 20 日开始，黑客组织修改了被黑网站上的恶意代码。

恶意代码不仅仅插入弹出窗口和重定向，还运行了一个功能，以测试网站访问者是否有能力在网站上创建用户帐户，这一功能仅适用于 WordPress 管理员帐户。

基本上，此恶意代码等待网站所有者访问自己的网站。当他们登录时，恶意代码创建了一个新的管理员帐户名为 wpservices，使用的电子邮件地址 wpservices@yandex.com 和密码 w0rdpr3ss。

通过创建这些帐户，该活动背后的黑客组织改变了从利用网站获取货币利润的策略，也为未来使用添加了后门，以及更加持久的立足点。

根据 Veenstra 的说法，这些最近的攻击针对以下插件中的旧漏洞。

Bold Page Builder
Blog Designer
Live Chat with Facebook Messenger
Yuzo Related Posts
Visual CSS Style Editor
WP Live Chat Support
Form Lightbox
Hybrid Composer
All former NicDark plugins (nd-booking, nd-travel, nd-learning, et. al.)

这些插件已经升级，用户可以确定需要更新的版本，以防止攻击。

更新以下插件后，还建议网站所有者检查在其网站上注册的管理员用户名。删除这些帐户是必不可少的，因为它们的唯一目的是在用户更新易受攻击的插件后创建一种返回网站的方法。

清理受感染的 WordPress 网站可能非常复杂，因为网站所有者还必须使用 WordPress 安全插件扫描他们的网站，以寻找黑客可能留下的各种其他后门机制。

来源：ZDNet

点击“了解更多”可访问文内链接

WordPress无插件纯代码实现注册验证拒绝恶意注册

最近WordPress日记进行了一次改版，改版后使用了TML用户自定义登录注册插件，但是发现一个很严重的问题，那就是突然开始出现很多恶意注册用户，搞的是很烦人，所以就想着添加一个注册时的验证，到网上搜到很多，比如使用极验的方法，但是还要注册账号什么的，比较麻烦，不太想用。那就继续找，终于发现一个纯代码实现的方法。具体如下：

把下面这段代码添加到自己的functions.php，其中的验证问题我使用了本站的域名“www.wp-diary.com”，你也可以改成其他内容。注意改的时候，代码第四行和倒数第四行都有，要改两处哦

add_action( \\\'register_form\\\', \\\'add_security_question\\\' );function add_security_question() { ?>    <p>    <label><?php _e(\\\'请输入本站域名：www.wp-diary.com\\\') ?><br />        <input type=\\\"text\\\" name=\\\"user_proof\\\" id=\\\"user_proof\\\" class=\\\"input\\\" size=\\\"25\\\" tabindex=\\\"20\\\" /></label>    </p><?php }     add_action( \\\'register_post\\\', \\\'add_security_question_validate\\\', 10, 3 );function add_security_question_validate( $sanitized_user_login, $user_email, $errors) {    // 如果没有回答    if (!isset($_POST[ \\\'user_proof\\\' ]) || empty($_POST[ \\\'user_proof\\\' ])) {        return $errors->add( \\\'proofempty\\\', \\\'<strong>错误</strong>: 您还没有回答问题。\\\'  );    // 如果答案不正确    } elseif ( strtolower( $_POST[ \\\'user_proof\\\' ] ) != \\\'www.wp-diary.com\\\' ) {        return $errors->add( \\\'prooffail\\\', \\\'<strong>错误</strong>: 您的回答不正确。\\\'  );    }}

效果如下：

如果你觉得一个问题不过瘾，WordPress还可以实现注册随机验证：

session_start();
function rand_reg_question(){
$register_number=rand(0,2); // 设置随机数的返回范围
$_SESSION
[‘register_number’]=$register_number;
}
add_action(‘login_head’,’rand_reg_question’);

global $register_questions;
global
$register_answers;
// 添加问题数组
$register_questions=array(‘中国的首都在哪里？’,’Google是哪个国家的公司？’,’楚狂人博客是用什么
建站程序搭建的？’);
// 添加答案数组（与上面的问题对应）
$register_answers=array(‘北京’,’美国’,’WordPress’);

add_action(
‘register_form’, ‘add_security_question’ );
function add_security_question() {
global $register_questions;
$register_number=
$_SESSION[‘register_number’];
?>

<label><?php echo $register_questions[$register_number];?> 
<input type=”text”
name=”user_proof” id=”user_proof” class=”input” size=”25〃 tabindex=”20〃 />
</label>

<?php }

add_action( ‘register_post’,
‘add_security_question_validate’, 10, 3 );
function add_security_question_validate( $sanitized_user_login, $user_email,
$errors) {
global $register_answers;
$register_number=$_SESSION[‘register_number’];
if (!isset($_POST[ ‘user_proof’ ]) ||
empty($_POST[ ‘user_proof’ ])) {
return $errors->add( ‘proofempty’, ‘错误: 您还没有回答问题。’ );
} elseif (
strtolower( $_POST[ ‘user_proof’ ] ) != $register_answers[$register_number] ) {
return $errors->add( ‘prooffail’, ‘
错误: 您的回答不正确。’ );
}
}

这个功能本站没有启用，就不给大家测试，需要使用WordPress随机注册验证的朋友可以自行测试一下，祝你成功！

标签：

建站教程

黑客试图在受到攻击的 WordPress 网站创建管理员帐户(WordPress无插件纯代码实现注册验证拒绝恶意注册)