Wordpress Hacked5.5 admin-ajax.php

Question

我正在使用WordPress主题和插件的最新版本(5.5)。我也有2个自定义的附加程序.我试过所有我知道的保护方法。

• wp-config.php和wp-admin url和admin nick更改
• .htaccess禁用xmlrpc.php和wp-config.php
• 安装Wordfence + 2FA登录
• 密码重置阻塞
• MYSQL名称和密码都很好。

我被黑了。

https://prnt.sc/u13mku见图

wp-admin/admin-ajax.php和wp-login.php

你能给我另一个关于wp保护的想法吗？

黑客曾尝试过这样做：

?action=lostpassword (他登录了我的wp-admin) wp-admin/admin-post.php?page=wysija_campaigns&action=themes (我不使用wysija) wp-login.php

如何将外部请求关闭到admin-ajax.php、wp-login.php、wp-load.php等？

Answer 1

尝试访问登录页面的情况时有发生。不是一个大的deal....assuming，你有适当的保护。比如：

• 没有一个名为“admin”的用户
• 不允许枚举用户名(因此无法发现用户名)
• 在所有帐户上使用强密码，特别是管理级别。
• 在主机、FTP、数据库等上使用强密码
• 禁用对xmlrpc.prg (公共黑客入口点)的访问
• 小心用户上传的文件(如果允许用户创建条目)
• 本地计算机上的一般AV保护(以及良好的密码策略)

我管理许多WP网站，我不担心无效的登录尝试，因为我遵循上述规则。我还有一些默认应用的安全设置(通过我编写的插件)来添加到htaccess文件中。

如果一个网站确实被黑了，那么我会遵循一个精心进化的过程来清理这个网站。很多googles/bings/鸭子都在清理被黑的WP站点。我的过程在这里，https://www.securitydawg.com/recovering-from-a-hacked-wordpress-site/ -还有很多其他的。