WordPress的Fancybox被广泛ISIS黑客攻击。即使目前安装了最新版本(v3.0.6),我的WordPress网站(v3.9.2)仍在打印ISIS声明。解决此问题的方法是禁用/删除插件。
黑客通过未经净化的Fancybox选项插入代码,以将代码"插入"到站点。
但是,我很好奇黑客如何进行这种攻击(例如,他们如何针对我的网站?他们需要不停地向我们的服务器发送攻击吗?顺便说一下,我的服务器很慢)?如何在我们的开发中防止这些攻击?
有关攻击的更多详细信息,请阅读本文。
虽然我认为这个问题"跑题了",但我会在这里添加我的五美分:
Fancybox for Wordpress是如何被黑客入侵的?
首先,请记住,这不是FancyBox的问题,而是PHP漏洞。任何WP插件都是用PHP编码的,糟糕的PHP代码容易出现漏洞,缺陷和攻击。
其次,WP插件的作者可能与原始jQuery插件不同(在这种情况下或我知道的任何其他情况下都不是),因此即使原始jQuery插件可以健壮而稳定,WP中的其他人也可能很好地实现它。
他们如何定位我的网站?
他们没有定位您的网站,因为您的网站。大多数攻击都是由机器人执行的,这些机器人爬网以寻找糟糕代码中发现的后门和漏洞。这很可能是一次随机攻击,你只是机器人爬行路径上的不幸家伙。
如何解决?
删除受感染的WP插件可能无法解决或阻止问题,因为攻击可能不再来自该插件。
某些攻击可能会传播并将其他文件(通过易受攻击的插件中的后门)注入您的 WP 目录结构。您可能需要浏览目录(通过FTP)并删除/重命名在第一次"攻击"之日及其之后创建/修改的任何可疑文件(很可能是PHP文件)。
您可能还需要撤销其权限。
如何在我们的开发中防止这些攻击?
选择一个强大的(有据可查和更新的)插件并更新您的WP版本。
尽管我不应该认可任何第三方软件或插件,但为您的 WP 网站提供更稳定、更强大的 FancyBox WP 插件将是 EasyFancybox。
恕我直言,最好的选择(不一定是最用户友好的)根本不使用插件,并在 WP 主题的标题.php文件中自己对原始 FancyBox js 和 css 文件(以及您的 FancyBox 初始化脚本)进行硬编码。