停止黑客到Wordpress网站 - 添加了新用户

Question

如果我在错误的论坛上发帖，我会提前道歉。

我有一个WordPress网站。每隔几天，新用户被添加为＆＃34;管理员＆＃34;如下图所示

我使用复杂的密码多次更改密码但没有用。我甚至在Google上搜索过并阅读了this one等链接。

我也取消选中了选项＆＃34; 任何人都可以注册＆＃34;

但是，我无法阻止他们注册。

幸运的是，没有发现任何恶意活动（例如：删除/不需要的帖子等）

请告诉我如何阻止这些？

Answer 1

您显然有更严重的妥协，例如上传的恶意脚本或未修补的漏洞。您需要在发生非常糟糕的事情之前，从头开始重新构建您的站点（干净安装当前版本的WP以及任何插件和主题，使用已知良好的数据库导出）。

不幸的是，如果不通过服务器进行挖掘，就无法说出发生了什么。我的猜测是有人利用漏洞并上传了一个脚本。它可能是任何东西 - WP核心，插件或主题中的漏洞;恶意插件或主题;一个被盗的密码;在同一台服务器上违反另一个站点;或许多其他事情。

无论发生什么，唯一安全的解决方法是重建网站。如果您有数据备份，则可以在几个小时内完成此操作。

我强烈建议您安装安全插件WordFence，以帮助防止将来出现类似问题。 （我与WordFence没有任何关系，但在许多网站上使用它。）

最后，您可能需要阅读this discussion on security.stackexchange.com。在这种情况下的共识是“从轨道上进行核武器”。祝你好运！

Answer 2

有人在您的网站上进行SQL注入。 如果你想在将来阻止它，你应该做一些事情。

• 从头开始重建您的网站。
• 安装一些安全插件，例如Bulletproof Security, Wordfence, iThemes Security。我建议你购买Bulletproof的许可证，或使用免费版本+其中一个。并且要小心相同的设置。
• 最常见的攻击是SQL注入XSS，插件漏洞，当然还有强制管理员传递。每次看到新版本时，都应升级每个插件和Wordpress。
• 使用较少的插件。它们是黑客入侵网站的主要原因之一。如果你使用Linux，我可以告诉你如何扫描你的网站的漏洞。或者只是告诉我网址，我会告诉你结果。
• 同时更改您的/wp-admin path，有很多机器人搜索网络并进行暴力攻击。

使用different admin username或admin中的Admin也很重要。并使用强密码。当您进行新的Wordpress安装时，这是一个很好的做法，可以再做两个用户。第一个是Author，会在网站上发布所有内容，第二个是Administration role。之后删除第一个管理员用户并启动新用户。 黑客知道几乎每次id:1用户都是管理员，所以他们可以尝试再次访问。因此，在这种情况下，您的管理员将使用id：3，并且不再使用管理员等用户名。

致以最诚挚的问候，祝你好运。 Kasmetski

Answer 3

1. 检查index.php，wp-admin / index.php以查看它们是否已被修改。通常，以下代码行被添加到index.php文件的顶部。通常会添加以“required”开头的代码。 此处“必需”/“包含”的文件包含恶意代码，该代码与每次运行的WordPress一起执行。此类代码可生成假药品页面，日本SEO垃圾邮件页面和其他恶意软件感染。 在将文件与其GitHub存储库中的核心WP文件的内容进行比较后，从文件中删除@require代码。

2. 检查服务器根目录中是否有任何新文件或/ wp-admin文件夹中没有您创建的文件。您可能会找到的一些文件是：

   • Marvins.php
   • db_.php
   • 8c18ee
   • 83965
   • admin.php的
   • buddy.zip
   • dm.php

如果您发现上述任何可疑文件，请进行备份并将其删除。

来源：https://www.getastra.com/blog/911/fix-wordpress-admin-dashboard-wp-admin-hack/