WordPress破解了5.5 admin-ajax.php

时间:2020-08-17 作者:Tamerlan Memmedov

我正在使用WordPress主题和插件的最新版本(5.5)。我还有2个自定义编写的附加组件。我尝试了所有我知道的保护方法。

  • wp-config.php wp admin url和admin nick已更改.htaccess 使残废xmlrpc.phpwp-config.php
  • 已安装Wordfence+2FA登录
  • 密码重置被阻止
  • MYSQL名称和密码良好

    https://prnt.sc/u13mku 请参见照片

    wp-admin/admin-ajax.phpwp-login.php

    你能给我另一个关于wp保护的想法吗?

    黑客尝试过:

    ?action=lostpassword (很多,他登录了我的wp管理员)wp-admin/admin-post.php?page=wysija_campaigns&action=themes (我不使用wysija)wp-login.php

    如何关闭从外部到的请求admin-ajax.php, wp-login.php, wp-load.php, 等

1 个回复
SO网友:Rick Hellewell

尝试访问登录页的情况时有发生。没什么大不了的。。。。假设你有适当的保护措施。例如:

没有名为“admin”的用户,不允许枚举用户名(因此无法发现用户名)

  • 在所有帐户上使用强密码,特别是在管理级别,在主机、FTP、数据库等上使用强密码,禁用对xmlrpc的访问。prg(一个常见的黑客入口点)
  • 小心用户上传的文件(如果您允许用户创建条目)
  • 本地计算机上的一般AV保护(以及良好的密码策略)
      • 我管理许多WP站点,我不担心无效的登录尝试,因为我遵循上述规则。我也有一些默认应用的安全设置(通过我编写的插件)添加到htaccess文件中。

      如果一个网站真的被黑了,那么我会遵循一个经过仔细改进的清理网站的过程。许多谷歌/宾格/鸭子在清理被黑客入侵的WP网站。我的流程在这里https://www.securitydawg.com/recovering-from-a-hacked-wordpress-site/ - 还有很多其他的。

    标签: admin   hacked   小码农  

    相关推荐

    在已发布的页面上拒绝访问,但不在wordpress/wp-admin/上拒绝访问

    我有一个网站,在那里,我的请求url的状态突然变为“403禁止”,HTML页面中的访问被拒绝。这个问题只发生在已发布页面的链接上/wp admin/很好,我可以编辑和发布页面。但是当点击页面链接时,我的访问被拒绝了。以下是我的网站的环境详细信息。共享托管</Wordpress框架5.4.2版</我可以通过ftp连接</访问html文件</我试过了禁用所有插件(包括更改插件文件夹名称)。htaccess文件很好,请告诉我要检查哪些权限以及在哪里检查。