文章详情

最近刚启用ripro主题,发现一天几百个注册会员,后来方发现都是注册机操作,查看后台日志,发现该IP地址利用了wp-login.php这个wordpress原生注册登录页面,主题对这个页面没进行处理。

测试了一下,通过这个页面可以任意进行注册,只要输入用户名和邮箱,点击注册,wordpress后台就会提示你注册成功,直接绕过了验证码,而且邮箱地址还可以任意虚构,恶意用户只要编写一个python脚本很轻松就可以无限注册用户对网站进行攻击。

一般情况下个人博客网址都直接关闭了注册功能,因此不存在非管理员访问后台的问题。但如果你使用WordPress开发了多用户功能,通常已经采用自定义的表单和用户面板来替代了WordPress的后台用户面板,这时候可能要考虑禁止用户访问WordPress管理后台了,具体代码如下,添加都主题functions.php即可。

// 禁止非管理员登录后台
add_action(‘admin_init’, ‘redirect_non_admin_users’);
function redirect_non_admin_users() {
if (!is_super_admin() && empty($_REQUEST)) {
wp_redirect(home_url(‘?from=wp-admin’));
exit;
}
}

// 移除原生登录注册
add_action(‘login_head’, ‘redirect_login_form_register’);
function redirect_login_form_register() {
wp_redirect(home_url(‘?from=wp-admin’));
exit(); // always call `exit()` after `wp_redirect`
}

微信扫一扫

支付宝扫一扫

版权: 转载请注明出处:https://www.izhanke.com/jishu/620.html

相关推荐
ripro主题防止机器人注册
WordPress登录文件名为 wp-login.php,修改此文件名代价比较高,但可以为 wp-login.php 加上一个参数,用以限制…
413
ripro主题恶意注册解决方法
最近刚启用ripro主题,发现一天几百个注册会员,后来方发现都是注册机操作,查看后台日志,发现该IP地址利用了wp-login.php这个w…
300
RiPro主题美化教程:主体改5栏栅格布局
大家都知道ripro用的是bootstrap这个款前端框架,遵循12栅格的规范,也就是说我们主体评分等宽栅格的话需要能被二整除,这里有一个尴…
1,408
发表评论
暂无评论

还没有评论呢,快来抢沙发~

点击联系客服

在线时间:8:00-16:00

客服电话

400-888-8888

客服邮箱

81269537@qq.com

扫描二维码

关注微信公众号

扫描二维码

手机访问本站