也不知道是得罪了谁,前一阵子网站每天都被刷搜索引擎关键词,最近网站被攻击的频率也明显比之前多了,而且更有针对性一些,之前都是在扫描一些老漏洞比如FCkEditor,thinkphp等等,这些都对我的站点没啥影响,但最近我观察到很多利用wordpress漏洞的,还是比较担心的,现将其中一部分漏洞做一个整理汇总,希望与我一样使用wordpress建站的朋友一定要注意,文章比较长,请静下心来逐个去和自己网站做一下对比。
大体分析了一下请求日志,除了wordpress部分版本本身的漏洞主要还是利用一些插件的漏洞,而这些插件漏洞又分为几类:
一、跨站脚本攻击(XSS)
1、indexisto
漏洞所在文件:
/wp-content/plugins/indexisto/assets/js/indexisto-inject.php
2、whizz
漏洞所在文件:
/whizz/plugins/delete-plugin.php
3、anti-plagiarism
漏洞所在文件:
/wp-content/plugins/anti-plagiarism/js.php
4、s3-video
漏洞所在文件:
/wp-content/plugins/s3-video/views/video-management/preview_video.php
5、wpsolr-search-engine
漏洞所在文件:
/wp-content/plugins/wpsolr-search-engine/classes/extensions/managed-solr-servers/templates/template-my-accounts.php
6、page-layout-builder
漏洞所在文件:
/wp-content/plugins/page-layout-builder/includes/layout-settings.php
7、e-search
漏洞所在文件:
/wp-content/plugins/e-search/tmpl/date_select.php
/wp-content/plugins/e-search/tmpl/title_az.php
8、tidio-gallery
漏洞所在文件:
/wp-content/plugins/tidio-gallery/popup-insert-help.php
9、parsi-font
漏洞所在文件:
/wp-content/plugins/parsi-font/css.php
10、defa-online-image-protector
漏洞所在文件:
/wp-content/plugins/defa-online-image-protector/redirect.php
11、new-year-firework
漏洞所在文件:
/wp-content/plugins/new-year-firework/firework/index.php
12、simpel-reserveren
漏洞所在文件:
/wp-content/plugins/simpel-reserveren/edit.php
13、ajax-random-post
漏洞所在文件:
/wp-content/plugins/ajax-random-post/js.php
14、admin-font-editor
漏洞所在文件:
/wp-content/plugins/admin-font-editor/css.php
15、hdw-tube
漏洞所在文件:
/wp-content/plugins/hdw-tube/playlist.php
/wp-content/plugins/hdw-tube/mychannel.php
16、hero-maps-pro
漏洞所在文件:
/wp-content/plugins/hero-maps-pro/views/dashboard/index.php
17、photoxhibit
漏洞所在文件:
/wp-content/plugins/photoxhibit/common/inc/pages/edit_styles.php
/wp-content/plugins/photoxhibit/common/inc/pages/build.php
18、pondol-formmail
漏洞所在文件:
/wp-content/plugins/pondol-formmail/pages/admin-mail-info.php
19、heat-trackr
漏洞所在文件:
/wp-content/plugins/heat-trackr/heat-trackr_abtest_add.php
20、tidio-form
漏洞所在文件:
/wp-content/plugins/tidio-form/popup-insert-help.php
21、simplified-content
漏洞所在文件:
/wp-content/plugins/simplified-content/ooawpframework/js/ajax/OOAAjax.js.php
22、infusionsoft
漏洞所在文件:
/wp-content/plugins/infusionsoft/Infusionsoft/examples/leadscoring.php
23、quiz-master-next<6.3.5
漏洞所在地址:
/wp-admin/admin.php
24、easy-digital-downloads<2.11.6
漏洞所在地址:
/wp-admin/edit.php
二、文件包含漏洞
1、wp-payeezy-pay
漏洞所在文件:
/wp-content/plugins/wp-payeezy-pay/pay.php
/wp-content/plugins/wp-payeezy-pay/pay-rec.php
/wp-content/plugins/wp-payeezy-pay/donate.php
/wp-content/plugins/wp-payeezy-pay/donate-rec.php
2、mail-masta
漏洞所在文件:
/inc/campaign/count_of_send.php
/inc/lists/csvexport.php
3、gracemedia-media-player
漏洞所在文件:
/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php
4、wechat-broadcast
漏洞所在文件:
/wp-content/plugins/wechat-broadcast/wechat/Image.php
5、cab-fare-calculator
漏洞所在文件:
/wp-content/plugins/cab-fare-calculator/tblight.php
三、函数调用
1、VR Calendar < 2.3.2
漏洞所在路径:
/wp-admin/admin-post.php
四、SQL注入
1、ChopSlider 3.4
漏洞所在文件:
/wp-content/plugins/chopslider/get_script/index.php
五、任意文件上传
1、Imagements <= 1.2.5
2、simple-file-list
漏洞所在文件:
/wp-content/plugins/simple-file-list/ee-upload-engine.php
/wp-content/plugins/simple-file-list/ee-file-engine.php
3、wp-file-manager
漏洞所在文件:
/wp-content/plugins/wp-file-manager/lib/php/../files/mypoc.php
4、WPCargo < 6.9.0
漏洞所在文件:
/wp-content/plugins/wpcargo/includes/barcode.php
六、写在最后
除了上面列举的漏洞,还有特别多的其他漏洞我们需要注意,由于篇幅问题这里不一一列举,文末会放上一个每天更新的wordpress漏洞请求地址集合的链接,有需要的朋友可以去关注。
这些漏洞一般都存在于特定的wordpress版本/特定的插件版本中,所以理论上我们只要及时更新wordpress/插件,就能基本保证站点的安全,而wordpress本身提供了自动更新机制,如果能用上自动更新那无疑又增加了一重保障,另外对于一些已经不更新的插件就不建议大家使用了。
另外,建议大家对网站请求日志进行监控分析,如果同一IP短时间内出现大量404请求,则大概率是有异常,可以直接封禁其IP,当然前期我们需要将站点可能出现404的地方给修改好,避免影响正常用户,本站后面也会介绍如何利用shell脚本+定时任务自动监控404请求并对用户进行管理,感兴趣的朋友可以关注一下。
本站资源部分来自网友投稿,如有侵犯你的权益请联系管理员或给邮箱发送邮件PubwinSoft@foxmail.com 我们会第一时间进行审核删除。
站内资源为网友个人学习或测试研究使用,未经原版权作者许可,禁止用于任何商业途径!请在下载24小时内删除!
如果遇到评论可下载的文章,评论后刷新页面点击“对应的蓝字按钮”即可跳转到下载页面!
本站资源少部分采用7z压缩,为防止有人压缩软件不支持7z格式,7z解压,建议下载7-zip,zip、rar解压,建议下载WinRAR。
温馨提示:本站部分付费下载资源收取的费用为资源收集整理费用,并非资源费用,不对下载的资源提供任何技术支持及售后服务。
