我有一个客户谁的WordPress网站被iframe诈骗者两次黑客入侵.每次他们将iframe代码注入网站的内容.
最后一次,今天,他们只是将wp_options中的siteurl更改为他们的iframe代码.结果很明显,似乎只是简单地依赖于脚本的路径
<?PHP bloginfo(); ?>
我无法确定它的密码是否妥协(在FTP或wordpress本身上)或sql注入以改变siteurl.因为唯一被改变的是siteurl,我想的可能是sql Injection.
你的想法是什么?有没有办法扫描网站是否存在潜在的sql注入漏洞?
解决方法
在这次攻击中使用sql Injection 0-day极不可能. wordpress是我曾经审核过的最不安全的PHP项目之一,它因为如此不安全而获得了奖励. “wordpress黑客”是一个完整的笑话,他们拒绝了我的一个漏洞报告,因为他们无法掌握这个简单的缺陷,他们甚至没有打扰我的漏洞利用代码. (这个漏洞被打了补丁.)
使用FTP是一个非常糟糕的主意.您正在通过CLEAR TEXT中的开放式互联网传输纯文本密码和源代码,您必须完全疯了.使用SFTP !!!!我知道有一种病毒(不记得名字……)通过嗅探寻找FTP密码的网络流量传播,然后登录,并修改它找到的.PHP和.html文件.在具有FTP访问服务器的所有计算机上运行防病毒,AVG将删除此病毒.
我打赌wordpress或你的一个插件从未更新过.插件中的漏洞通常用于破解Web应用程序.检查所有已安装的库/ Web应用程序的所有版本号.
如果要测试站点的sql注入,请在PHP.ini中打开display_errors = On并运行Sitewatch free service *或开源Wapiti.修补任何漏洞后,重新运行扫描以确保您的补丁保持不变.然后运行PhpSecInfo以锁定您的PHP安装.确保从报告中删除所有RED条目.
*我隶属于这个网站/服务.