楼主找到是什么地方的漏洞没有
没有,只要打开wordpress网站,就自动替换index.php和htacess。其他的倒没事了,再看看把。 大概率是插件漏洞,楼主能说说用了什么插件吗?
贴个自己用的给WP后台登录地址加验证密码的方法:
将以下代码加入到wordpress模板主题根目录下的functions.php文件中,请修改其中的12345678为自己定义的验证密码:
defined('_ADMIN_LOGIN_KEY') || define('_ADMIN_LOGIN_KEY', '12345678');
if((strpos($_SERVER['SCRIPT_NAME'], "/wp-admin/")===0 || $pagenow === 'wp-login.php') && defined('_ADMIN_LOGIN_KEY') && _ADMIN_LOGIN_KEY != ''){
add_action('init', function(){
$cookie_key='_admin_login_key_' . md5(_ADMIN_LOGIN_KEY);
$keyCookie = isset($_COOKIE[$cookie_key]) && !empty($_COOKIE[$cookie_key]) ? trim($_COOKIE[$cookie_key]):'';
$key = isset($_GET['adminkey']) && !empty($_GET['adminkey']) ? trim($_GET['adminkey']):'';
if($key == ''){
$key = $keyCookie;
}
if($key ==_ADMIN_LOGIN_KEY){
setcookie($cookie_key, $key);
}else{
wp_safe_redirect(home_url(), 302);
exit;
}
}, 1);
}
修改后,直接访问后台登录地址http://www.你的域名.com/wp-login.php 不会显示登录框,会直接跳转到首页。
必须使用以下格式登录后台(请修改其中的12345678为自己定义的验证密码):
http://www.你的域名.com/wp-login.php?adminkey=12345678
8943 发表于 2022-4-12 18:05
我把只要没流量的网站都删除了,剩下的网站也没几个wordpress程序了,过两天再看看还有没有。
以后还是少 ...
也有可能宝塔撞库或者漏洞,不一定WP的问题。
如果WP权限设置的很死,那就要换服务器,用最新版本 ShinobuCR 发表于 2022-4-12 23:23
Wordfence 吧,我就挂免费版的 至少目前为止没出啥问题
之前没挂防火墙确实被入侵过 ...
感谢 以前用过 貌似经常提示升级就关掉了现在又去安起。。。 WordPress挂wordfence,服务器挂clamAV,在宝塔开定期扫描任务 以前遇到这种情况,被黑真气人
页:
1
[2]
