黑客试图在受到攻击的 WordPress 网站创建管理员帐户(WordPress无插件纯代码实现注册验证 拒绝恶意注册)
文章目录
黑客试图在受到攻击的 WordPress 网站创建管理员帐户
WordPress
作者/来源: 安华金和
一个黑客组织利用十多个 WordPress 插件中的漏洞,试图在互联网上的 WordPress 网站上创建流氓管理员帐户。
这些攻击是上个月开始的黑客攻击活动的升级部分。在之前的攻击中,黑客利用相同插件中的漏洞在被黑网站上植入恶意代码。此代码旨在显示弹出广告或将访问者重定向到其他网站。然而,两周前,这些袭击背后的团体改变了策略。网络安全公司 Defiant 的威胁分析师 Mikey Veenstra 告诉 ZDNet,从 8 月 20 日开始,黑客组织修改了被黑网站上的恶意代码。
恶意代码不仅仅插入弹出窗口和重定向,还运行了一个功能,以测试网站访问者是否有能力在网站上创建用户帐户,这一功能仅适用于 WordPress 管理员帐户。
基本上,此恶意代码等待网站所有者访问自己的网站。当他们登录时,恶意代码创建了一个新的管理员帐户名为 wpservices,使用的电子邮件地址 wpservices@yandex.com 和密码 w0rdpr3ss。
通过创建这些帐户,该活动背后的黑客组织改变了从利用网站获取货币利润的策略,也为未来使用添加了后门,以及更加持久的立足点。
根据 Veenstra 的说法,这些最近的攻击针对以下插件中的旧漏洞。
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
- All former NicDark plugins (nd-booking, nd-travel, nd-learning, et. al.)
这些插件已经升级,用户可以确定需要更新的版本,以防止攻击。
更新以下插件后,还建议网站所有者检查在其网站上注册的管理员用户名。删除这些帐户是必不可少的,因为它们的唯一目的是在用户更新易受攻击的插件后创建一种返回网站的方法。
清理受感染的 WordPress 网站可能非常复杂,因为网站所有者还必须使用 WordPress 安全插件扫描他们的网站,以寻找黑客可能留下的各种其他后门机制。
来源:ZDNet
更多资讯
加州地方法官反对执法机构强制使用嫌犯生物特征解锁手机美国地方法官 弗兰克·德马尔基(Virginia Demarchi)近日公开表态,反对执法机构强迫使用嫌疑犯的生物特征来解锁手机,并表示此类系统应该受到《第五修正案》的保护。 加利福尼亚州北部地区的美国地方法官弗兰克·德马尔基近日做出裁定,认为强迫嫌疑犯的生物特征(例如指纹识别和面部识别)来解锁 iPhone 等手机是 固有证词(inherently testimonial),她认为这等于强迫个人作证。
来源:cnBeta.COM
详情链接: https://www.dbsec.cn/blog/article/5013.html
福建福昕通知客户服务器遭到黑客入侵福昕 PDF 阅读器和编辑器的开发商福建福昕软通知客户,黑客入侵了它的服务器访问了用户数据。在给受影响客户的邮件通知中,福昕称,未经授权的黑客访问了 My Account 区域。
来源:solidot.org
详情链接: https://www.dbsec.cn/blog/article/5014.html
NPM 禁止终端广告在一个流行的 JS 库开始在 NPM 命令行界面展示广告之后,NPM 公司计划未来禁止此类的行为。公司 CTO Ahmad Nassri 表示他们致力于改进政策扩大对社区的承诺。它更新了政策,明确不接受此类的商业内容。
来源:solidot.org
详情链接: https://www.dbsec.cn/blog/article/5015.html
中科院谢高岗:从北京医院感染勒索病毒到华住旗下酒店开房记录泄漏,我们的数据面临什么威胁? 8月31日,在2019中国500强企业高峰论坛分论坛第三届信息安全产业发展论坛上,中国科学院计算机网络信息中心副主任谢高岗发表演讲表示,目前国家互联网发展迅速,在人、物体、信息的三维融合中,带来了数据量的激增,此时,如何存储数据并获得数据的价值成为了一项巨大的挑战。
来源:经济观察网
详情链接: https://www.dbsec.cn/blog/article/5016.html
(信息来源于网络,安华金和搜集整理)
点击“了解更多”可访问文内链接
WordPress无插件纯代码实现注册验证 拒绝恶意注册
最近WordPress日记进行了一次改版,改版后使用了TML用户自定义登录注册插件,但是发现一个很严重的问题,那就是突然开始出现很多恶意注册用户,搞的是很烦人,所以就想着添加一个注册时的验证,到网上搜到很多,比如使用极验的方法,但是还要注册账号什么的,比较麻烦,不太想用。那就继续找,终于发现一个纯代码实现的方法。具体如下:
把下面这段代码添加到自己的functions.php,其中的验证问题我使用了本站的域名“www.wp-diary.com”,你也可以改成其他内容。注意改的时候,代码第四行和倒数第四行都有,要改两处哦
1 |
<span class="pln">add_action</span><span class="pun">(</span> <span class="str">\\\'register_form\\\'</span><span class="pun">,</span> <span class="str">\\\'add_security_question\\\'</span> <span class="pun">);</span><span class="kwd">function</span><span class="pln"> add_security_question</span><span class="pun">()</span> <span class="pun">{</span> <span class="pun">?></span> <span class="str"><p></span> <span class="str"><label></span><span class="pun"><?</span><span class="pln">php _e</span><span class="pun">(</span><span class="str">\\\'请输入本站域名:www.wp-diary.com\\\'</span><span class="pun">)</span> <span class="pun">?><</span><span class="pln">br </span><span class="pun">/></span> <span class="pun"><</span><span class="pln">input type</span><span class="pun">=</span><span class="str">\\\"text\\\"</span><span class="pln"> name</span><span class="pun">=</span><span class="str">\\\"user_proof\\\"</span><span class="pln"> id</span><span class="pun">=</span><span class="str">\\\"user_proof\\\"</span> <span class="kwd">class</span><span class="pun">=</span><span class="str">\\\"input\\\"</span><span class="pln"> size</span><span class="pun">=</span><span class="str">\\\"25\\\"</span><span class="pln"> tabindex</span><span class="pun">=</span><span class="str">\\\"20\\\"</span> <span class="pun">/></</span><span class="pln">label</span><span class="pun">></span> <span class="pun"></</span><span class="pln">p</span><span class="pun">></span><span class="pun"><?</span><span class="pln">php </span><span class="pun">}</span><span class="pln"> add_action</span><span class="pun">(</span> <span class="str">\\\'register_post\\\'</span><span class="pun">,</span> <span class="str">\\\'add_security_question_validate\\\'</span><span class="pun">,</span> <span class="lit">10</span><span class="pun">,</span> <span class="lit">3</span> <span class="pun">);</span><span class="kwd">function</span><span class="pln"> add_security_question_validate</span><span class="pun">(</span><span class="pln"> $sanitized_user_login</span><span class="pun">,</span><span class="pln"> $user_email</span><span class="pun">,</span><span class="pln"> $errors</span><span class="pun">)</span> <span class="pun">{</span> <span class="com">// 如果没有回答</span> <span class="kwd">if</span> <span class="pun">(!</span><span class="pln">isset</span><span class="pun">(</span><span class="pln">$_POST</span><span class="pun">[</span> <span class="str">\\\'user_proof\\\'</span> <span class="pun">])</span> <span class="pun">||</span><span class="pln"> empty</span><span class="pun">(</span><span class="pln">$_POST</span><span class="pun">[</span> <span class="str">\\\'user_proof\\\'</span> <span class="pun">]))</span> <span class="pun">{</span> <span class="kwd">return</span><span class="pln"> $errors</span><span class="pun">-></span><span class="pln">add</span><span class="pun">(</span> <span class="str">\\\'proofempty\\\'</span><span class="pun">,</span> <span class="str">\\\'<strong>错误</strong>: 您还没有回答问题。\\\'</span> <span class="pun">);</span> <span class="com">// 如果答案不正确</span> <span class="pun">}</span><span class="pln"> elseif </span><span class="pun">(</span><span class="pln"> strtolower</span><span class="pun">(</span><span class="pln"> $_POST</span><span class="pun">[</span> <span class="str">\\\'user_proof\\\'</span> <span class="pun">]</span> <span class="pun">)</span> <span class="pun">!=</span> <span class="str">\\\'www.wp-diary.com\\\'</span> <span class="pun">)</span> <span class="pun">{</span> <span class="kwd">return</span><span class="pln"> $errors</span><span class="pun">-></span><span class="pln">add</span><span class="pun">(</span> <span class="str">\\\'prooffail\\\'</span><span class="pun">,</span> <span class="str">\\\'<strong>错误</strong>: 您的回答不正确。\\\'</span> <span class="pun">);</span> <span class="pun">}</span><span class="pun">}</span> |
效果如下:
如果你觉得一个问题不过瘾,WordPress还可以实现注册随机验证:
session_start();
function rand_reg_question(){
$register_number=rand(0,2); // 设置随机数的返回范围
$_SESSION
[‘register_number’]=$register_number;
}
add_action(‘login_head’,’rand_reg_question’);
global $register_questions;
global
$register_answers;
// 添加问题数组
$register_questions=array(‘中国的首都在哪里?’,’Google是哪个国家的公司?’,’楚狂人博客是用什么
建站程序搭建的?’);
// 添加答案数组(与上面的问题对应)
$register_answers=array(‘北京’,’美国’,’WordPress’);
add_action(
‘register_form’, ‘add_security_question’ );
function add_security_question() {
global $register_questions;
$register_number=
$_SESSION[‘register_number’];
?>
<p>
<label><?php echo $register_questions[$register_number];?><br />
<input type=”text”
name=”user_proof” id=”user_proof” class=”input” size=”25〃 tabindex=”20〃 />
</label>
</p>
<?php }
add_action( ‘register_post’,
‘add_security_question_validate’, 10, 3 );
function add_security_question_validate( $sanitized_user_login, $user_email,
$errors) {
global $register_answers;
$register_number=$_SESSION[‘register_number’];
if (!isset($_POST[ ‘user_proof’ ]) ||
empty($_POST[ ‘user_proof’ ])) {
return $errors->add( ‘proofempty’, ‘<strong>错误</strong>: 您还没有回答问题。’ );
} elseif (
strtolower( $_POST[ ‘user_proof’ ] ) != $register_answers[$register_number] ) {
return $errors->add( ‘prooffail’, ‘<strong>
错误</strong>: 您的回答不正确。’ );
}
}
这个功能本站没有启用,就不给大家测试,需要使用WordPress随机注册验证的朋友可以自行测试一下,祝你成功!
1. 带 [亲测] 说明源码已经被站长亲测过!
2. 下载后的源码请在24小时内删除,仅供学习用途!
3. 分享目的仅供大家学习和交流,请不要用于商业用途!
4. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
5. 本站所有资源来源于站长上传和网络,如有侵权请邮件联系站长!
6. 没带 [亲测] 代表站长时间紧促,站长会保持每天更新 [亲测] 源码 !
7. 盗版ripro用户购买ripro美化无担保,若设置不成功/不生效我们不支持退款!
8. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
9. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
10.如果您购买了某个产品,而我们还没来得及更新,请联系站长或留言催更,谢谢理解 !
GG资源网 » 黑客试图在受到攻击的 WordPress 网站创建管理员帐户(WordPress无插件纯代码实现注册验证 拒绝恶意注册)