今早发现网站被人恶意注册了7、8个账号,查看IP地址都是来自于104.197.8.112,查看后台日志,发现该IP地址利用了wp-login.php这个wordpress原生注册登录页面,主题对这个页面没进行处理。
测试了一下,通过这个页面可以任意进行注册,只要输入用户名和邮箱,点击注册,wordpress后台就会提示你注册成功,直接绕过了验证码,而且邮箱地址还可以任意虚构,恶意用户只要编写一个python脚本很轻松就可以无限注册用户对网站进行攻击。
解决方法:
方法1)wordpress后台关闭注册,取消勾选设置-》常规-》成员资格,因为ripro主题使用自己的ajax方式注册登录功能,wordpress自带注册功能不影响。
方法2)wordpress后台安装插件Redirection,将/wp-login.php重定向到首页或其它位置。
暂时只测试了ripro主题,其它主题未测,解决方法相同。
猜你喜欢
- WordPress网站被利用xmlrpc.php文件攻击怎么办? (0.625)
- 如何在不丢失SEO的情况下将两个WordPress网站合并在一起 (0.625)
