黑客试图在受到攻击的 WordPress 网站创建管理员帐户

WordPress

作者/来源： 安华金和

一个黑客组织利用十多个 WordPress 插件中的漏洞，试图在互联网上的 WordPress 网站上创建流氓管理员帐户。

这些攻击是上个月开始的黑客攻击活动的升级部分。在之前的攻击中，黑客利用相同插件中的漏洞在被黑网站上植入恶意代码。此代码旨在显示弹出广告或将访问者重定向到其他网站。然而，两周前，这些袭击背后的团体改变了策略。网络安全公司 Defiant 的威胁分析师 Mikey Veenstra 告诉 ZDNet，从 8 月 20 日开始，黑客组织修改了被黑网站上的恶意代码。

恶意代码不仅仅插入弹出窗口和重定向，还运行了一个功能，以测试网站访问者是否有能力在网站上创建用户帐户，这一功能仅适用于 WordPress 管理员帐户。

基本上，此恶意代码等待网站所有者访问自己的网站。当他们登录时，恶意代码创建了一个新的管理员帐户名为 wpservices，使用的电子邮件地址 wpservices@yandex.com 和密码 w0rdpr3ss。

通过创建这些帐户，该活动背后的黑客组织改变了从利用网站获取货币利润的策略，也为未来使用添加了后门，以及更加持久的立足点。

根据 Veenstra 的说法，这些最近的攻击针对以下插件中的旧漏洞。

• Bold Page Builder
• Blog Designer
• Live Chat with Facebook Messenger
• Yuzo Related Posts
• Visual CSS Style Editor
• WP Live Chat Support
• Form Lightbox
• Hybrid Composer
• All former NicDark plugins (nd-booking, nd-travel, nd-learning, et. al.)

这些插件已经升级，用户可以确定需要更新的版本，以防止攻击。

更新以下插件后，还建议网站所有者检查在其网站上注册的管理员用户名。删除这些帐户是必不可少的，因为它们的唯一目的是在用户更新易受攻击的插件后创建一种返回网站的方法。

清理受感染的 WordPress 网站可能非常复杂，因为网站所有者还必须使用 WordPress 安全插件扫描他们的网站，以寻找黑客可能留下的各种其他后门机制。

来源：ZDNet

更多资讯

加州地方法官反对执法机构强制使用嫌犯生物特征解锁手机美国地方法官 弗兰克·德马尔基(Virginia Demarchi)近日公开表态，反对执法机构强迫使用嫌疑犯的生物特征来解锁手机，并表示此类系统应该受到《第五修正案》的保护。 加利福尼亚州北部地区的美国地方法官弗兰克·德马尔基近日做出裁定，认为强迫嫌疑犯的生物特征（例如指纹识别和面部识别）来解锁 iPhone 等手机是 固有证词(inherently testimonial)，她认为这等于强迫个人作证。

来源：cnBeta.COM

详情链接： https://www.dbsec.cn/blog/article/5013.html

福建福昕通知客户服务器遭到黑客入侵福昕 PDF 阅读器和编辑器的开发商福建福昕软通知客户，黑客入侵了它的服务器访问了用户数据。在给受影响客户的邮件通知中，福昕称，未经授权的黑客访问了 My Account 区域。

来源：solidot.org

详情链接： https://www.dbsec.cn/blog/article/5014.html

NPM 禁止终端广告在一个流行的 JS 库开始在 NPM 命令行界面展示广告之后，NPM 公司计划未来禁止此类的行为。公司 CTO Ahmad Nassri 表示他们致力于改进政策扩大对社区的承诺。它更新了政策，明确不接受此类的商业内容。

来源：solidot.org

详情链接： https://www.dbsec.cn/blog/article/5015.html

中科院谢高岗：从北京医院感染勒索病毒到华住旗下酒店开房记录泄漏，我们的数据面临什么威胁？ 8月31日，在2019中国500强企业高峰论坛分论坛第三届信息安全产业发展论坛上，中国科学院计算机网络信息中心副主任谢高岗发表演讲表示，目前国家互联网发展迅速，在人、物体、信息的三维融合中，带来了数据量的激增，此时，如何存储数据并获得数据的价值成为了一项巨大的挑战。

来源：经济观察网

详情链接： https://www.dbsec.cn/blog/article/5016.html

（信息来源于网络，安华金和搜集整理）

点击“了解更多”可访问文内链接

WordPress无插件纯代码实现注册验证 拒绝恶意注册

最近WordPress日记进行了一次改版，改版后使用了TML用户自定义登录注册插件，但是发现一个很严重的问题，那就是突然开始出现很多恶意注册用户，搞的是很烦人，所以就想着添加一个注册时的验证，到网上搜到很多，比如使用极验的方法，但是还要注册账号什么的，比较麻烦，不太想用。那就继续找，终于发现一个纯代码实现的方法。具体如下：

把下面这段代码添加到自己的functions.php，其中的验证问题我使用了本站的域名“www.wp-diary.com”，你也可以改成其他内容。注意改的时候，代码第四行和倒数第四行都有，要改两处哦

add_action( \\\'register_form\\\', \\\'add_security_question\\\' );function add_security_question() { ?>    <p>    <label><?php _e(\\\'请输入本站域名：www.wp-diary.com\\\') ?><br />        <input type=\\\"text\\\" name=\\\"user_proof\\\" id=\\\"user_proof\\\" class=\\\"input\\\" size=\\\"25\\\" tabindex=\\\"20\\\" /></label>    </p><?php }     add_action( \\\'register_post\\\', \\\'add_security_question_validate\\\', 10, 3 );function add_security_question_validate( $sanitized_user_login, $user_email, $errors) {    // 如果没有回答    if (!isset($_POST[ \\\'user_proof\\\' ]) || empty($_POST[ \\\'user_proof\\\' ])) {        return $errors->add( \\\'proofempty\\\', \\\'<strong>错误</strong>: 您还没有回答问题。\\\'  );    // 如果答案不正确    } elseif ( strtolower( $_POST[ \\\'user_proof\\\' ] ) != \\\'www.wp-diary.com\\\' ) {        return $errors->add( \\\'prooffail\\\', \\\'<strong>错误</strong>: 您的回答不正确。\\\'  );    }}

效果如下：

}

这个功能本站没有启用，就不给大家测试，需要使用WordPress随机注册验证的朋友可以自行测试一下，祝你成功！