Fancybox for WordPress被ISIS广泛攻击。即使安装了最新版本(v3.0.6),我的WordPress网站(v3.9.2)仍然打印出ISIS声明。解决问题的方法是禁用/删除插件。
黑客通过非消毒的Fancybox选项将代码插入"插入"代码到网站。
但是,我很好奇黑客如何能够执行这种攻击(例如,他们如何定位我的网站?他们是否需要不间断地向我们的服务器发送攻击?我的服务器很慢顺便说一句)?以及如何在我们的开发中防止这些攻击?
有关攻击的详细信息,请阅读this article。
答案 0 :(得分:2)
虽然我认为这个问题是“偏离主题”,但我会在这里加上我的五分钱:
Fancybox for Wordpress是如何被黑客入侵的?
首先,请记住这不是FancyBox问题,而是PHP漏洞。任何WP插件都是用PHP编码的,而糟糕的PHP代码容易出现漏洞,漏洞和攻击。
其次,WP插件的作者可能与原始jQuery插件不同(它不是在这种情况下或我所知道的任何其他插件)所以尽管原始的jQuery插件可以是健壮且稳定的,但它可以是WP中其他人执行不力。
他们如何定位我的网站?
他们没有定位您的网站,因为这是您的网站。大多数攻击都是由机器人执行的,这些机器人在网络中搜寻后门和漏洞中发现的漏洞。这很可能是一次随机攻击,你只是机器人爬行路径中不幸的人。
如何解决?
删除受损的WP插件可能无法解决或阻止此问题,因为攻击可能不再来自该插件。
某些攻击可能会传播并将其他文件(通过易受攻击的插件中的后门)注入您的WP目录结构中。您可能需要浏览目录(通过FTP)并删除/重命名在第一次“攻击”日期之后及之后创建/修改的任何可疑文件(很可能是PHP文件)。
您可能还需要撤消其权限。
如何在我们的开发中防止这些攻击?
选择一个健壮的(记录良好和更新的)插件并更新您的WP版本。
尽管我不认可任何第三方软件或插件,但WP网站上更稳定,更强大的FancyBox WP插件将是EasyFancybox。
最好的选择IMHO(不一定是用户最友好的)根本就没有使用插件,并且在中自己硬编码原始的FancyBox js和css文件(以及你的FancyBox初始化脚本) WP主题的header.php 文件。