php – 在siteurl上测试SQL注入的wordpress网站

我有一个客户谁的wordpress网站被iframe诈骗者两次黑客入侵.每次他们将iframe代码注入网站的内容.最后一次,今天,他们只是将wp_options中的siteurl更改为他们的iframe代码.结果很明显,似乎只是简单地依赖于脚本的路径...

我有一个客户谁的wordpress网站被iframe诈骗者两次黑客入侵.每次他们将iframe代码注入网站的内容.

最后一次,今天,他们只是将wp_options中的siteurl更改为他们的iframe代码.结果很明显,似乎只是简单地依赖于脚本的路径

<?php bloginfo(); ?>

我无法确定它的密码是否妥协(在FTP或WordPress本身上)或SQL注入以改变siteurl.因为唯一被改变的是siteurl,我想的可能是SQL Injection.

你的想法是什么？有没有办法扫描网站是否存在潜在的SQL注入漏洞？

网站上唯一活跃的插件是联系表单7和谷歌xml站点地图.

解决方法:

在这次攻击中使用SQL Injection 0-day极不可能. WordPress是我曾经审核过的最不安全的PHP项目之一,它因为如此不安全而获得了奖励. “Wordpress黑客”是一个完整的笑话,他们拒绝了我的一个漏洞报告,因为他们无法掌握这个简单的缺陷,他们甚至没有打扰我的漏洞利用代码. (这个漏洞被打了补丁.)

使用FTP是一个非常糟糕的主意.您正在通过CLEAR TEXT中的开放式互联网传输纯文本密码和源代码,您必须完全疯了.使用SFTP !!!!我知道有一种病毒(不记得名字……)通过嗅探寻找FTP密码的网络流量传播,然后登录,并修改它找到的.php和.html文件.在具有FTP访问服务器的所有计算机上运行防病毒,AVG将删除此病毒.

我打赌wordpress或你的一个插件从未更新过.插件中的漏洞通常用于破解Web应用程序.检查所有已安装的库/ Web应用程序的所有版本号.

如果要测试站点的SQL注入,请在php.ini中打开display_errors = On并运行Sitewatch free service *或开源Wapiti.修补任何漏洞后,重新运行扫描以确保您的补丁保持不变.然后运行PhpSecInfo以锁定您的php安装.确保从报告中删除所有RED条目.

*我隶属于这个网站/服务.