Fancybox for Wordpress 是如何被黑的?
How does Fancybox for Wordpress got hacked?
Fancybox for WordPress 广泛遭到 ISIS 的攻击。即使此时安装了最新版本 (v3.0.6),我的 WordPress 站点 (v3.9.2) 仍然打印出 ISIS 声明。解决问题的方法是禁用/删除插件。
黑客通过未净化的 Fancybox 选项将代码插入 "insert" 代码到站点。
但是,我很好奇黑客是如何进行这种攻击的(例如,他们如何针对我的网站?他们是否需要不停地向我们的服务器发送攻击?我的服务器是顺便说一句很慢)?以及如何在我们的开发中防止这些攻击?
更多攻击细节,请阅读this article。
虽然我考虑这个问题"off-topic"我会在这里加上我的五分钱:
How does Fancybox for Wordpress got hacked?
首先,请记住这不是 FancyBox 问题,而是 PHP 漏洞。任何 WP 插件都是在 PHP 中编码的,糟糕的 PHP 代码容易出现漏洞、缺陷和攻击。
其次,WP 插件的作者可能与原始 jQuery 插件的作者不同(在这种情况下或我所知道的任何其他情况下都不是)所以即使原始 jQuery插件可以健壮和稳定,它可以在 WP 中被其他人实现得很差。
how do they target my website?
他们没有以您的网站为目标,因为是您的网站。大多数攻击都是由机器人执行的,这些机器人会在网络上爬行以寻找在不良代码中发现的后门和漏洞。很可能是随机攻击,而你只是机器人爬行路径上的倒霉蛋。
how to fix it?
删除受感染的 WP 插件可能无法解决或阻止问题,因为攻击可能不再来自该插件。
某些攻击可能会传播其他文件并将其注入您的 WP 目录结构(通过易受攻击的插件中的后门)。您可能需要浏览您的目录(通过 FTP)和 remove/rename 任何可疑文件(很可能是 PHP 文件),这些文件 created/modified 在第一个 "attack".
您可能也需要撤销他们的权限。
how to prevent these attacks in our development?
选择一个强大的(有据可查和更新的)插件并更新您的 WP 版本。
尽管我不应该认可任何第三方软件或插件,但更稳定、更强大的适用于您的 WP 网站的 FancyBox WP 插件是 EasyFancybox。
最好的选择恕我直言(不一定是最用户友好的)根本不使用插件,硬编码原始的 FancyBox js 和 css 文件(以及你的 FancyBox 初始化脚本)你自己在 WP 主题的 header.php 文件中。
Fancybox for WordPress 广泛遭到 ISIS 的攻击。即使此时安装了最新版本 (v3.0.6),我的 WordPress 站点 (v3.9.2) 仍然打印出 ISIS 声明。解决问题的方法是禁用/删除插件。
黑客通过未净化的 Fancybox 选项将代码插入 "insert" 代码到站点。
但是,我很好奇黑客是如何进行这种攻击的(例如,他们如何针对我的网站?他们是否需要不停地向我们的服务器发送攻击?我的服务器是顺便说一句很慢)?以及如何在我们的开发中防止这些攻击?
更多攻击细节,请阅读this article。
虽然我考虑这个问题"off-topic"我会在这里加上我的五分钱:
How does Fancybox for Wordpress got hacked?
首先,请记住这不是 FancyBox 问题,而是 PHP 漏洞。任何 WP 插件都是在 PHP 中编码的,糟糕的 PHP 代码容易出现漏洞、缺陷和攻击。
其次,WP 插件的作者可能与原始 jQuery 插件的作者不同(在这种情况下或我所知道的任何其他情况下都不是)所以即使原始 jQuery插件可以健壮和稳定,它可以在 WP 中被其他人实现得很差。
how do they target my website?
他们没有以您的网站为目标,因为是您的网站。大多数攻击都是由机器人执行的,这些机器人会在网络上爬行以寻找在不良代码中发现的后门和漏洞。很可能是随机攻击,而你只是机器人爬行路径上的倒霉蛋。
how to fix it?
删除受感染的 WP 插件可能无法解决或阻止问题,因为攻击可能不再来自该插件。
某些攻击可能会传播其他文件并将其注入您的 WP 目录结构(通过易受攻击的插件中的后门)。您可能需要浏览您的目录(通过 FTP)和 remove/rename 任何可疑文件(很可能是 PHP 文件),这些文件 created/modified 在第一个 "attack".
您可能也需要撤销他们的权限。
how to prevent these attacks in our development?
选择一个强大的(有据可查和更新的)插件并更新您的 WP 版本。
尽管我不应该认可任何第三方软件或插件,但更稳定、更强大的适用于您的 WP 网站的 FancyBox WP 插件是 EasyFancybox。
最好的选择恕我直言(不一定是最用户友好的)根本不使用插件,硬编码原始的 FancyBox js 和 css 文件(以及你的 FancyBox 初始化脚本)你自己在 WP 主题的 header.php 文件中。