站长学院 2021年06月19日
0 收藏 0 点赞 1,084 浏览 754 个字

最近刚启用ripro主题,发现一天几百个注册会员,后来方发现都是注册机操作,查看后台日志,发现该IP地址利用了wp-login.php这个wordpress原生注册登录页面,主题对这个页面没进行处理。

测试了一下,通过这个页面可以任意进行注册,只要输入用户名和邮箱,点击注册,wordpress后台就会提示你注册成功,直接绕过了验证码,而且邮箱地址还可以任意虚构,恶意用户只要编写一个python脚本很轻松就可以无限注册用户对网站进行攻击。

一般情况下个人博客网址都直接关闭了注册功能,因此不存在非管理员访问后台的问题。但如果你使用WordPress开发了多用户功能,通常已经采用自定义的表单和用户面板来替代了WordPress的后台用户面板,这时候可能要考虑禁止用户访问WordPress管理后台了,具体代码如下,添加都主题functions.php即可。

// 禁止非管理员登录后台
add_action('admin_init', 'redirect_non_admin_users');
function redirect_non_admin_users() {
if (!is_super_admin() && empty($_REQUEST)) {
wp_redirect(home_url('?from=wp-admin'));
exit;
}
}

// 移除原生登录注册
add_action('login_head', 'redirect_login_form_register');
function redirect_login_form_register() {
wp_redirect(home_url('?from=wp-admin'));
exit(); // always call `exit()` after `wp_redirect`
}

微信扫一扫

支付宝扫一扫

版权: 转载请注明出处:https://www.mizhanw.com/blog/620.html

上一篇:

已经没有上一篇了!

相关推荐
WooCommerce订单列表显示购买产品
// 为 Legacy CPT-based 订单添加自定义列 add_filter('manage_edit-shop_order_colu…
日期:2024-09-20 点赞:0 阅读:10
WooCommerce Order 类的所有Get方法,以面向对象的方法获取订单数据
在开发WooCommerce插件或者与第三方系统交互时,我们需要获取 WooCommerce 订单的数据,WooCommerce的 WC_O…
日期:2024-09-20 点赞:0 阅读:7
为WooCommerce后台订单列表添加按自定义字段功能
  // 添加自定义列到订单列表 add_filter('manage_woocommerce_page_wc-orders_co…
日期:2024-09-20 点赞:0 阅读:7
添加删除 WooCommerce 数据列表中的数据列
转载:添加删除 WooCommerce 数据列表中的数据列 _WordPress智库 (wpzhiku.com) 在 WooCommerce…
日期:2024-09-20 点赞:0 阅读:10
WooCommerce的结账页面的订单摘要中,在商品数量后添加加减按钮
关于 WooCommerce 结账页面的定制内容在网上有大量讨论。为什么呢?因为结账页面无疑是任何 WooCommerce 网站的关键页面!…
日期:2024-08-11 点赞:0 阅读:87
woocommerce在账单地址和配送地址中添加自定义字段
// 添加自定义字段到结账页面并显示在邮编下面 add_filter('woocommerce_checkout_fields', 'cus…
日期:2024-07-19 点赞:0 阅读:128
发表评论
暂无评论

还没有评论呢,快来抢沙发~