所以�����,即使機(jī)器人支持Javascript以及cookies�����,并且幸運的通過了第一層反機(jī)器人保護(hù)�,在第二層也是會失敗的,因為第二層保護(hù)是需要對郵箱進(jìn)行驗證的�。這樣即使是有人盜取了你的Wordpress密碼,如果沒有進(jìn)行郵箱確認(rèn)也是無法登錄的�����。
用戶對電子郵箱地址進(jìn)行確認(rèn)過后,會有一個額外的設(shè)置步驟�,對WP_FLV_EMAIL_CONFIRMED cookie設(shè)置為保存1000天,所以他們不需要每次登錄都進(jìn)行郵箱驗證���。
最后的“bootstrap” 部分���,包含了將wp-core.php注入到index.php的代碼(你可以在文章的開頭看到)。它能夠確保 “bruteforce protection” 一直都能夠使用���,如果wp-login.php中的代碼被移除,它能夠自己進(jìn)行修復(fù)��。
如果我們忘記通過非常規(guī)方式向Wordpress添加功能�����,這段代碼確實能夠起到強有力的保護(hù)機(jī)制��。當(dāng)然���,這并非看上去那么完美����,對于那些有針對性的攻擊起到的作用并不大,特別是當(dāng)攻擊者了解這個保護(hù)機(jī)制以后����。但是無法否認(rèn)的是,這個保護(hù)機(jī)制確實會為站長解決一些不必要的麻煩����,至少這個保護(hù)機(jī)制能夠防止目前95%的自動化枚舉攻擊。
講了半天����,難道這個插件真真正正的是一款不可多得的優(yōu)秀插件?我會告訴你wp-core.php中500多行的代碼中有關(guān)“bootstrap”的代碼不足100行����?那么剩下的80%代碼都是做什么的呢?
wp-core.php中的惡意代碼
那么剩下的那80%代碼都是沒有保護(hù)作用的����。
舉個例子,它可以顯示所有存儲在Wordpress數(shù)據(jù)庫中的電子郵箱����,如果不需要授權(quán)就可以提取郵箱地址,之前的保護(hù)也就變得毫無意義了����。
同時����,還安裝有一個開放的重定向器����,F(xiàn)在黑客就可以向使用了“bruteforce protection” 的網(wǎng)站站長發(fā)送垃圾郵件了,釣魚再或者對網(wǎng)站訪客進(jìn)行重定向到一個黑客指定的網(wǎng)站����。
實例演示
小編推薦閱讀
