给别人公司做的网站被黑了~

daigouadmin · 发表于 2014-9-3 23:09:59

Tou 发表于 2014-9-3 23:01
http://域名/?author=1 然后就知道非admin的admin权限用户了
我看日志看到的~黑黑 ~略屌

就是管理员什么名字都无所谓的么

ninqq · 发表于 2014-9-3 23:35:35

Tou 发表于 2014-9-3 23:01
http://域名/?author=1 然后就知道非admin的admin权限用户了
我看日志看到的~黑黑 ~略屌

= -汗,这种算毛个问题
解决方法随便就能想到3个
1:用户链接改成UID来计算,这样就可以把链接里的ID改成uid达到隐藏目的
2:通过伪静态把访问/?author=1这种格式的链接转出去,或者禁止访问
3:把默认uid1的用户删除或者取消权限,给MJ权限

daigouadmin · 发表于 2014-9-3 23:39:15

ninqq 发表于 2014-9-3 23:35
= -汗,这种算毛个问题
解决方法随便就能想到3个
1:用户链接改成UID来计算,这样就可以把链接里的ID改成ui ...

高手 WP防黑防破还有什么方法吗

ninqq · 发表于 2014-9-3 23:41:06

本帖最后由 ninqq 于 2014-9-3 23:42 编辑

daigouadmin 发表于 2014-9-3 23:39
高手 WP防黑防破还有什么方法吗

服务器端口不要使用默认的

插件不乱安装模板不乱使用
前台去除wp版本号

禁止后台编辑插件/上传安装插件
禁止后台在线编辑修改模板

619054 · 发表于 2014-9-3 23:42:30

把機器關了就可以防黑了。

daigouadmin · 发表于 2014-9-3 23:44:02

ninqq 发表于 2014-9-3 23:41
服务器端口不要使用默认的

插件不乱安装模板不乱使用

槛外人 · 发表于 2014-9-4 00:09:41

Tou 发表于 2014-9-3 23:01
http://域名/?author=1 然后就知道非admin的admin权限用户了
我看日志看到的~黑黑 ~略屌

可以选择公开显示的是昵称而不是登陆用户名，这样别人就不会知道你的真正登陆用户名是什么。

QQ截图20140904001053.png (12.17 KB, 下载次数: 0)
-----------------------------------------------------------------------------------------------------------------------------------------

QQ截图20140904001735.png (11.94 KB, 下载次数: 0)

冚家产 · 发表于 2014-9-4 00:11:32

直接在ssh里输入shutdown就可以放爆破。

skywing · 发表于 2014-9-4 00:16:09

这样一说我的WP满是漏洞啊

leemw · 发表于 2014-9-4 00:20:22

跟企业说钱没交够。。。补交以后马上好

		自动登录	找回密码
密码			注册

给别人公司做的网站被黑了~

点评

点评

点评

点评