WordPress站长必知的重大安全漏洞合集

真正的内心强大,就是活在自己的世界里,而不是活在别人的眼中和嘴上。人生在世,无非是笑笑别人,然后再让别人笑笑自己。

WordPress站长必知的重大安全漏洞合集

也不知道是得罪了谁,前一阵子网站每天都被刷搜索引擎关键词,最近网站被攻击的频率也明显比之前多了,而且更有针对性一些,之前都是在扫描一些老漏洞比如FCkEditor,thinkphp等等,这些都对我的站点没啥影响,但最近我观察到很多利用wordpress漏洞的,还是比较担心的,现将其中一部分漏洞做一个整理汇总,希望与我一样使用wordpress建站的朋友一定要注意,文章比较长,请静下心来逐个去和自己网站做一下对比。

大体分析了一下请求日志,除了wordpress部分版本本身的漏洞主要还是利用一些插件的漏洞,而这些插件漏洞又分为几类:

一、跨站脚本攻击(XSS)

1、indexisto

漏洞所在文件:

/wp-content/plugins/indexisto/assets/js/indexisto-inject.php

 

2、whizz

漏洞所在文件:

/whizz/plugins/delete-plugin.php

 

3、anti-plagiarism

漏洞所在文件:

/wp-content/plugins/anti-plagiarism/js.php

 

4、s3-video

漏洞所在文件:

/wp-content/plugins/s3-video/views/video-management/preview_video.php

 

5、wpsolr-search-engine

漏洞所在文件:

/wp-content/plugins/wpsolr-search-engine/classes/extensions/managed-solr-servers/templates/template-my-accounts.php

 

6、page-layout-builder

漏洞所在文件:

/wp-content/plugins/page-layout-builder/includes/layout-settings.php

 

7、e-search

漏洞所在文件:

/wp-content/plugins/e-search/tmpl/date_select.php

/wp-content/plugins/e-search/tmpl/title_az.php

 

8、tidio-gallery

漏洞所在文件:

/wp-content/plugins/tidio-gallery/popup-insert-help.php

 

9、parsi-font 

漏洞所在文件:

/wp-content/plugins/parsi-font/css.php

 

10、defa-online-image-protector

漏洞所在文件:

/wp-content/plugins/defa-online-image-protector/redirect.php

 

11、new-year-firework

漏洞所在文件:

/wp-content/plugins/new-year-firework/firework/index.php

 

12、simpel-reserveren

漏洞所在文件:

/wp-content/plugins/simpel-reserveren/edit.php

 

13、ajax-random-post

漏洞所在文件:

/wp-content/plugins/ajax-random-post/js.php

 

14、admin-font-editor

漏洞所在文件:

/wp-content/plugins/admin-font-editor/css.php

 

15、hdw-tube

漏洞所在文件:

/wp-content/plugins/hdw-tube/playlist.php

/wp-content/plugins/hdw-tube/mychannel.php

 

16、hero-maps-pro

漏洞所在文件:

/wp-content/plugins/hero-maps-pro/views/dashboard/index.php

 

17、photoxhibit

漏洞所在文件:

/wp-content/plugins/photoxhibit/common/inc/pages/edit_styles.php

/wp-content/plugins/photoxhibit/common/inc/pages/build.php

 

18、pondol-formmail

漏洞所在文件:

/wp-content/plugins/pondol-formmail/pages/admin-mail-info.php

 

19、heat-trackr

漏洞所在文件:

/wp-content/plugins/heat-trackr/heat-trackr_abtest_add.php

 

20、tidio-form

漏洞所在文件:

/wp-content/plugins/tidio-form/popup-insert-help.php

 

21、simplified-content

漏洞所在文件:

/wp-content/plugins/simplified-content/ooawpframework/js/ajax/OOAAjax.js.php

 

22、infusionsoft

漏洞所在文件:

/wp-content/plugins/infusionsoft/Infusionsoft/examples/leadscoring.php

 

23、quiz-master-next<6.3.5

漏洞所在地址:

/wp-admin/admin.php

 

24、easy-digital-downloads<2.11.6

漏洞所在地址:

/wp-admin/edit.php

 

二、文件包含漏洞

1、wp-payeezy-pay

漏洞所在文件:

/wp-content/plugins/wp-payeezy-pay/pay.php

/wp-content/plugins/wp-payeezy-pay/pay-rec.php

/wp-content/plugins/wp-payeezy-pay/donate.php

/wp-content/plugins/wp-payeezy-pay/donate-rec.php

 

2、mail-masta

漏洞所在文件:

/inc/campaign/count_of_send.php

/inc/lists/csvexport.php

 

3、gracemedia-media-player

漏洞所在文件:

/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php

 

4、wechat-broadcast

漏洞所在文件:

/wp-content/plugins/wechat-broadcast/wechat/Image.php

 

5、cab-fare-calculator

漏洞所在文件:

/wp-content/plugins/cab-fare-calculator/tblight.php

 

三、函数调用

1、VR Calendar < 2.3.2

漏洞所在路径:

/wp-admin/admin-post.php

 

四、SQL注入

1、ChopSlider 3.4

漏洞所在文件:

/wp-content/plugins/chopslider/get_script/index.php

五、任意文件上传

1、Imagements <= 1.2.5

2、simple-file-list

漏洞所在文件:

/wp-content/plugins/simple-file-list/ee-upload-engine.php

/wp-content/plugins/simple-file-list/ee-file-engine.php

 

3、wp-file-manager

漏洞所在文件:

/wp-content/plugins/wp-file-manager/lib/php/../files/mypoc.php

 

4、WPCargo < 6.9.0

漏洞所在文件:

/wp-content/plugins/wpcargo/includes/barcode.php

 

六、写在最后

除了上面列举的漏洞,还有特别多的其他漏洞我们需要注意,由于篇幅问题这里不一一列举,文末会放上一个每天更新的wordpress漏洞请求地址集合的链接,有需要的朋友可以去关注。

这些漏洞一般都存在于特定的wordpress版本/特定的插件版本中,所以理论上我们只要及时更新wordpress/插件,就能基本保证站点的安全,而wordpress本身提供了自动更新机制,如果能用上自动更新那无疑又增加了一重保障,另外对于一些已经不更新的插件就不建议大家使用了。

另外,建议大家对网站请求日志进行监控分析,如果同一IP短时间内出现大量404请求,则大概率是有异常,可以直接封禁其IP,当然前期我们需要将站点可能出现404的地方给修改好,避免影响正常用户,本站后面也会介绍如何利用shell脚本+定时任务自动监控404请求并对用户进行管理,感兴趣的朋友可以关注一下。

免责说明

本站资源部分来自网友投稿,如有侵犯你的权益请联系管理员或给邮箱发送邮件PubwinSoft@foxmail.com 我们会第一时间进行审核删除。
站内资源为网友个人学习或测试研究使用,未经原版权作者许可,禁止用于任何商业途径!请在下载24小时内删除!


如果遇到评论下载的文章,评论后刷新页面点击对应的蓝字按钮即可跳转到下载页面
本站资源少部分采用7z压缩,为防止有人压缩软件不支持7z格式,7z解压,建议下载7-zip,zip、rar解压,建议下载WinRAR

给TA打赏
共{{data.count}}人
人已打赏
WordPress教程

让WordPress文本小工具支持PHP代码

2023-5-26 12:51:30

WordPress教程

WordPress如何绑定多个域名实现多域名访问的方法

2023-6-2 15:20:58

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
搜索