今早发现网站被人恶意注册了7、8个账号,查看IP地址都是来自于104.197.8.112,查看后台日志,发现该IP地址利用了wp-login.php这个wordpress原生注册登录页面,主题对这个页面没进行处理。
测试了一下,通过这个页面可以任意进行注册,只要输入用户名和邮箱,点击注册,wordpress后台就会提示你注册成功,直接绕过了验证码,而且邮箱地址还可以任意虚构,恶意用户只要编写一个python脚本很轻松就可以无限注册用户对网站进行攻击。
解决方法:
方法1)wordpress后台关闭注册,取消勾选设置-》常规-》成员资格,因为ripro主题使用自己的ajax方式注册登录功能,wordpress自带注册功能不影响。
方法2)wordpress后台安装插件Redirection,将/wp-login.php重定向到首页或其它位置。
暂时只测试了ripro主题,其它主题未测,解决方法相同。
资源均来自第三方,谨慎下载,前往第三方网站下载
米微资源分享网 , 版权所有丨本站资源仅限于学习研究,严禁从事商业或者非法活动!丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:WordPress主题RiPro被恶意注册漏洞以及解决办法
转载请注明原文链接:WordPress主题RiPro被恶意注册漏洞以及解决办法
