今早发现网站被人恶意注册了7、8个账号,查看IP地址都是来自于104.197.8.112,查看后台日志,发现该IP地址利用了wp-login.php这个wordpress原生注册登录页面,主题对这个页面没进行处理。
测试了一下,通过这个页面可以任意进行注册,只要输入用户名和邮箱,点击注册,wordpress后台就会提示你注册成功,直接绕过了验证码,而且邮箱地址还可以任意虚构,恶意用户只要编写一个python脚本很轻松就可以无限注册用户对网站进行攻击。
解决方法:
方法1)wordpress后台关闭注册,取消勾选设置-》常规-》成员资格,因为ripro主题使用自己的ajax方式注册登录功能,wordpress自带注册功能不影响。
方法2)wordpress后台安装插件Redirection,将/wp-login.php重定向到首页或其它位置。
暂时只测试了ripro主题,其它主题未测,解决方法相同。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
