wordpress网站被劫持的原因及解决方案

热度s:745℃ 评论:5 发布时间:2017-11-18 收录:未收录

起因:

将懒人网安和本站全站启用https后,便查看下搜索引擎的收录有么有更换成https的,也因此让我发现了一个非常震惊的事情!

网站莫名其妙的被劫持了:

wordpress网站被劫持的原因及解决方案
这到底是什么情况?按理说如果要劫持我,肯定需要在网站上面添加劫持代码才行,而添加就需要网站权限,虽然我已经很久没有搭理过这个网站,但是我不可能网站被入侵了还一直没有发现吧?。。。果断检查下。

排查问题:

wordpress网站被劫持的原因及解决方案

通过搜索文件发现了问题所在,根据上图可以简单的回溯一下:

1.攻击者通过软件自动搜索wordpress站并且自动爬文章URL然后自动评论。

2.评论时提交的自己的网站URL,图中之所以是本站的URL是因为我启用了外链自动转换内链的功能。

3.wordpress本身是不会存在这种问题的,但是因为网站使用了WP Super Cache缓存插件,将页面缓存成了html文件,也就是图2中的文件,所以导致了评论中凡是出现的外站URL,都将被搜索引擎抓取如图1的结果一般。

解决方案:

通过查看其它几个专注于wordpress的博客的收录发现,他们即便使用了wordpress+WP Super Cache缓存插件,也没有出现我这种情况,也就是说其实他们很早就发现并且解决了。

检查懒人网安的robots.txt文件:

wordpress网站被劫持的原因及解决方案

在其中添加对网站外链的禁止抓取:

wordpress网站被劫持的原因及解决方案

添加规则,禁止外链被抓取。然后就过段时间在观察收录了。

总的说来,还是防垃圾评论没有做好,不过本博客应该不会出现垃圾评论这类问题,因为启用了滑动评论外加后端代码对评论内容的过滤。

本文由 Mr.Wu 创作,除注明转载/出处外,均为本站原创,转载前请注明出处!

5条回应:“wordpress网站被劫持的原因及解决方案”

  1. sandm0n说道:

    测试回复

  2. Handle说道:

    这个滑动在手机QQ内置浏览器体验极差……

发表评论

电子邮件地址不会被公开。 必填项已用*标注

顶部
护眼