站长学院 2021年06月19日
0 收藏 0 点赞 469 浏览 754 个字

最近刚启用ripro主题,发现一天几百个注册会员,后来方发现都是注册机操作,查看后台日志,发现该IP地址利用了wp-login.php这个wordpress原生注册登录页面,主题对这个页面没进行处理。

测试了一下,通过这个页面可以任意进行注册,只要输入用户名和邮箱,点击注册,wordpress后台就会提示你注册成功,直接绕过了验证码,而且邮箱地址还可以任意虚构,恶意用户只要编写一个python脚本很轻松就可以无限注册用户对网站进行攻击。

一般情况下个人博客网址都直接关闭了注册功能,因此不存在非管理员访问后台的问题。但如果你使用WordPress开发了多用户功能,通常已经采用自定义的表单和用户面板来替代了WordPress的后台用户面板,这时候可能要考虑禁止用户访问WordPress管理后台了,具体代码如下,添加都主题functions.php即可。

// 禁止非管理员登录后台
add_action('admin_init', 'redirect_non_admin_users');
function redirect_non_admin_users() {
if (!is_super_admin() && empty($_REQUEST)) {
wp_redirect(home_url('?from=wp-admin'));
exit;
}
}

// 移除原生登录注册
add_action('login_head', 'redirect_login_form_register');
function redirect_login_form_register() {
wp_redirect(home_url('?from=wp-admin'));
exit(); // always call `exit()` after `wp_redirect`
}

微信扫一扫

支付宝扫一扫

版权: 转载请注明出处:https://www.mizhanw.com/blog/620.html

上一篇:

已经没有上一篇了!

相关推荐
WordPress仿站制作
11年专业建站经验,优秀制作团队,完善的售后服务。 为您呈上全网更优质的一体化网站服务! 您是否在考虑这些? 需要一个自己喜欢又想得到的网站…
日期:2022-12-31 点赞:0 阅读:1,064
从阿里云转入到腾讯云如何进行接入备案?
根据觅站网了解,其实很多站长,包括觅站网自己,都曾经有过这个需求,就是原本是在阿里云购买了服务器,然后也是在阿里云上面确定了域名,然后建了个…
日期:2022-12-07 点赞:0 阅读:836
告所有本站开发WP主题的强化SEO方案
我们已经知道开放内容(OG)协议对SEO优化的作用,而在日常应用中,我们也能经常看到一些WordPress博客会在自己的页面的部分加入OG协…
日期:2022-12-07 点赞:0 阅读:808
2021 国外域名注册商推荐
2021年的国外域名注册商推荐有哪些?2020年马上就要过去了,那么咱们再来为你盘点下,自己建站赚钱,我一直建议你先建立一个自己的网站,而网…
日期:2022-12-01 点赞:0 阅读:334
常见的国内外Linux服务器运维面板汇总
虚拟主机控制面板可以帮助用户管理虚拟主机、网站备份等日常运维工作,市面上的虚拟主机控制面板有很多,免费的付费的都有,说说目前主流的虚拟主机控…
日期:2022-11-30 点赞:0 阅读:961
为WordPress链接关系(rel)添加external,nofollow,noreferrer选项
今天发现部分跟本站交换友链之后在自己网站添加了nofollow 标签,相当我们是单向连接了~真不厚道。下面引用百度文章说说这几个标签的作用是…
日期:2022-11-11 点赞:0 阅读:979
发表评论
暂无评论

还没有评论呢,快来抢沙发~