所以,即使機(jī)器人支持Javascript以及cookies��,并且幸運(yùn)的通過(guò)了第一層反機(jī)器人保護(hù)��,在第二層也是會(huì)失敗的,因?yàn)榈诙䦟颖Wo(hù)是需要對(duì)郵箱進(jìn)行驗(yàn)證的��。這樣即使是有人盜取了你的Wordpress密碼��,如果沒(méi)有進(jìn)行郵箱確認(rèn)也是無(wú)法登錄的��。
用戶對(duì)電子郵箱地址進(jìn)行確認(rèn)過(guò)后��,會(huì)有一個(gè)額外的設(shè)置步驟��,對(duì)WP_FLV_EMAIL_CONFIRMED cookie設(shè)置為保存1000天��,所以他們不需要每次登錄都進(jìn)行郵箱驗(yàn)證��。
最后的“bootstrap” 部分��,包含了將wp-core.php注入到index.php的代碼(你可以在文章的開(kāi)頭看到)��。它能夠確保 “bruteforce protection” 一直都能夠使用��,如果wp-login.php中的代碼被移除��,它能夠自己進(jìn)行修復(fù)��。
如果我們忘記通過(guò)非常規(guī)方式向Wordpress添加功能��,這段代碼確實(shí)能夠起到強(qiáng)有力的保護(hù)機(jī)制��。當(dāng)然��,這并非看上去那么完美��,對(duì)于那些有針對(duì)性的攻擊起到的作用并不大��,特別是當(dāng)攻擊者了解這個(gè)保護(hù)機(jī)制以后��。但是無(wú)法否認(rèn)的是��,這個(gè)保護(hù)機(jī)制確實(shí)會(huì)為站長(zhǎng)解決一些不必要的麻煩��,至少這個(gè)保護(hù)機(jī)制能夠防止目前95%的自動(dòng)化枚舉攻擊��。
講了半天��,難道這個(gè)插件真真正正的是一款不可多得的優(yōu)秀插件��?我會(huì)告訴你wp-core.php中500多行的代碼中有關(guān)“bootstrap”的代碼不足100行��?那么剩下的80%代碼都是做什么的呢��?
wp-core.php中的惡意代碼
那么剩下的那80%代碼都是沒(méi)有保護(hù)作用的��。
舉個(gè)例子,它可以顯示所有存儲(chǔ)在Wordpress數(shù)據(jù)庫(kù)中的電子郵箱��,如果不需要授權(quán)就可以提取郵箱地址��,之前的保護(hù)也就變得毫無(wú)意義了��。
同時(shí)��,還安裝有一個(gè)開(kāi)放的重定向器��,F(xiàn)在黑客就可以向使用了“bruteforce protection” 的網(wǎng)站站長(zhǎng)發(fā)送垃圾郵件了��,釣魚(yú)再或者對(duì)網(wǎng)站訪客進(jìn)行重定向到一個(gè)黑客指定的網(wǎng)站��。
實(shí)例演示
小編推薦閱讀
