Intereting Posts
Загружаются ли материалы на мой сайт, индексированные поисковыми системами, даже если они не прикреплены к сообщению? Создание новой вкладки «Меню администратора» для параметров темы Блокировать комментарии от индексации в поисковых системах Как обновить пользовательский вариант блога? WooCommerce add_to_cart () с пользовательской ценой Можно ли использовать переменную hook для языковой строки? WordPress Объектно-ориентированный плагин разработки Как каталогизировать мои журналы и их статьи? Удаление пункта меню плагина WordPress для конкретного пользователя Обновление метаданных без потери старых данных Гость автора не отображается в шаблоне автора Изменение изображения заголовка с использованием WPML Работает ли meta_query в массиве get_posts? Исключить пользовательский тег таксономии из цикла Последнее сообщение в цикле – пользовательские типы сообщений

Создает ли WordPress защиту от грубой силы?

Я управляю сайтом WordPress. Обычный сайт (вне входа администратора) является нормальным, но когда я пошел сегодня на вход в панель администратора и получил этот экран защиты от принудительной принудительной защиты: экран принудительной защиты

У меня нет установленных плагинов для защиты от грубой силы, и я никогда раньше не видел этого экрана, поэтому я обеспокоен тем, что это какой-то хак. Источником этой страницы является:

<html> <head> <title>Wordpress Anti Bruteforce</title> <style type="text/css"> .center { position: fixed; top: 50%; left: 50%; transform: translate(-50%, -50%); text-align: center; } .button-container { margin-top: 30px; } .text { margin-top: 30px; font-family: "Helvetica Neue",Helvetica,Arial,sans-serif; } .button-container { padding-top: 10px; } .button { font-size: 20px; height: 50px; width: 300px; } #logo { width: 540px; height: 122px; background: url('...') /* removed this for brevity - contains a WordPress logo in svg as a data: url */ } </style> </head> <body> <div class="center"> <div id="logo"></div> <h4 class="text">Please click the Login button to confirm you aren't a bot.</h4> <div class="button-container"> <input type="button" class="button" onclick="_login()" value="Login to WordPress" /> </div> </div> <script language="javascript"> function _login() { document.cookie = "antibot=* 15 character alphanumeric code here *; expires=Thu, 18 Dec 2026 12:00:00 UTC; path=/"; location.reload(); } </script> </body> 

Возможно, это взлом, или я должен просто пойти дальше и нажать кнопку? Плагины, которые я установил, – это Контактная форма 7 , Календарь событий и mb.miniAudioPlayer .

У вас активирован JetPack? Он имеет некоторые возможности грубой силы.

Я также предлагаю посмотреть код wp-login.php (через ваш файловый менеджер), чтобы узнать, изменилось ли оно. Ищите даты, отличные от остальных.

Вы также можете вручную установить программное обеспечение WP.

Код перезагрузит текущую страницу – я предполагаю, что это страница wp-login.php. Вот почему вам нужно проверить код страницы …, чтобы увидеть, изменилось ли оно.

Сам по себе код, который вы опубликовали, является доброкачественным. За исключением части, где она перезагружает текущую страницу, что может быть «плохо».

1) Нет, WP не имеет встроенной защиты от грубой силы , хотя следует учитывать такую ​​защиту.

2) Имейте в виду, что это может быть что-то, что установила тема, или плагин обязательного использования хостинг-провайдера.

3) Тем не менее, у SVG есть некоторые проблемы с безопасностью , поэтому, будучи уверенным, что это неизменный WP svg-файл, было бы полезно знать. Вот хорошая информация о том, почему по этой причине они не указаны в загрузчике WP media uploader .


В дополнение к проверке wp-login.php, упомянутой Риком , проверьте как функции functions.php темы, так и структуру каталогов в целом. Поиск следующих строк может помочь определить файлы:

  add_action( 'login_form, add_action( 'login_footer add_filter( 'login_headerurl, add_filter( 'login_headertitle, add_filter( 'login_message, add_filter( 'login_errors add_action( 'login_enqueue_scripts, add_action( 'login_head. 

Если вы хотите проверить БД для плагинов, они сохраняются в

 (table) <prefix>_options (row) option_name active_plugins 

Если у вас есть доступ к db, вы можете отключить все плагины со следующим SQL: UPDATE wp_options SET option_value = 'a:0:{}' WHERE option_name = 'active_plugins'; Источник и дополнительная информация о SQL