昨天明月經歷了一件有關 WordPress 站點安全意識的奇葩事兒,很是凸顯現在互聯網甚至個人電腦的安全形勢,今天就給大家分享一下這個經歷,希望可以提高大家對站點安全的防護意識,不要犯這樣的錯誤。
圖片來自明月登樓博客【imydl.com】
事情是個非常簡單的事兒,也沒有帶來多大的危害(不幸中的萬幸,後面細說!),一個朋友的 WordPress 站點明月幫忙給弄著運維方面的事兒,一般運維我都是在 Linux 命令行控制終端來完成的,前端的很多東西我都是直接交給用戶自己打理的,朋友因為是新手偶爾我也會幫其做一些網站前端的工作,昨天朋友說想換換網站的 logo 圖片自己不會弄就把圖片發給我了,就在這天的上午我還登錄這個站點的 WordPress 後臺做了一些佈局和功能上的調整,至少可以肯定是至少下午 15 點之前都是正常的,誰知道我收到朋友 QQ 上發來的 logo 圖片後因為下班回到家裡竟然發現 WordPress 的管理員賬號竟然無法登錄了,提示是“密碼不正確”,我去!前後也就是不到 2 個小時的事兒呀!問了朋友確認他也沒有更改過管理員賬號密碼,也沒有找回密碼( WordPress 一旦找回密碼就會重置密碼為隨機字符密碼發送至管理員郵箱),就這樣,管理員密碼徹底丟失。
圖片來自明月登樓博客【imydl.com】
仔細的分析後,問題可能就出在朋友那邊了,因為自己無論是公司和家裡的電腦都不可能造成這種問題的,我自己的幾個站點都沒有這樣的問題。並且服務器端是我部署的,也是我一直負責運維的,從服務器端沒有看出問題(沒有對日誌進行分析),這時候想起來到 360 網站衛士上看看,果然看到 15 點至 18 點這個時段網站竟然來了 24 個輕微的 CC 類攻擊,IP 地址是我們本地電信的,不是我公司的也不是我家裡的,根據這個時段期間攻擊最頻繁的時段推算就是朋友給我傳 logo 圖片那個時間段,再次跟朋友聯繫確認這個時間段才知道他正在廣告公司設計 logo 圖片,並且完成後用廣告公司的電腦登錄過站點後臺。
至此密碼洩露原因和地點都找到了,問題就出在廣告公司電腦上了,據明月的判斷應該是個瀏覽器插件/擴展或者是電腦上某個程序動的手腳,就目前國產瀏覽器的亂象,瀏覽器有 80%的可能是主犯,獲取到管理員賬號和密碼後就迫不及待的進行上傳了,這個動作被 360 網站衛士給檢測到並記錄了下來。至於其上傳行為明月倒是不用擔心,因為 WordPress 站點的管理員賬號和密碼都是單獨設定的,跟 FTP 完全沒有關係,自然上傳是失敗的,所以嘗試了 20 多次後也就放棄了。
圖片來自明月登樓博客【imydl.com】
問題找到了,給朋友簡單說了一下前因後果,強調了一下儘量不要在不明電腦上登錄 WordPress 站點後臺,最後通過 phpMyAdmin 修改 WordPress 數據庫數據表 wp_user 重置了管理員密碼可以正常登錄站點後臺。
其實這是個小事兒,但是就是這樣一個隨機發生的小事兒就凸顯出現在網絡安全形勢有多“糟糕”,就明月的交際範圍內接觸的電腦幾乎沒有幾個是乾淨安全的,甚至某些程序猿、攻城獅的電腦上也是“木馬”、“肉雞”橫行無忌,至於各種後門、暗門不用想都知道會有多少,在這樣幾乎沒有什麼秘密可言的電腦上登錄操作網站後臺就跟在外面為了一圈人的“玻璃浴室”裡洗澡的感覺一樣了。這讓明月又想起來去年一個客戶的 WordPress 站點幾乎隔幾個月整個站點的樣式表和數據庫就會被篡改和丟失一次,肯定也是這個原因造成的,最後再囉嗦一句就明月碰到的這些奇葩事兒中的電腦上都會看到 360 電腦衛士、騰訊安全管家、金山毒霸這類安全軟件的,誇張點兒的 4-5 個安全軟件共存的都有!好諷刺、好尷尬呀!
作為一個站長在運維好服務器的前提下自己使用的個人電腦/筆記本往往是個安全防禦盲區,如果哪天你發現你的站點總是莫名其妙的被植入木馬、後門甚至篡改的,明月建議你好好檢查一下自己電腦上、使用的瀏覽器有沒有不乾淨的東西,正所謂“家賊難防”呀!
閱讀更多 明月登樓 的文章
