WordPress 站点漏洞利用：数据库恶意注入与多重感染的案例分析

WordPress 站点的漏洞可能导致网站被入侵，许多已知的漏洞常被利用来感染 WordPress 站点，且往往不止一种感染类型。那些没有及时更新的网站，通常容易受到多个攻击者的入侵，或被同一个攻击者通过多种方式攻击。

我们最近发现了一起数据库注入攻击，其中包含了两种不同的恶意软件，它们的目标各不相同。第一个注入代码将用户重定向到一个垃圾体育网站，第二个注入代码则用来提升垃圾赌场网站在搜索引擎中的权威性。

目前，大约有 270 个站点受到了第一种注入代码的影响，而 82 个站点受到了第二个注入代码的影响。这两种恶意软件都分布在 WordPress 数据库的不同位置，但各自执行不同的任务。

接下来让我们来具体了解这两种注入代码。

数据库重定向与赌场网站权威提升

第一种注入：数据库重定向

第一个注入代码分布在被黑的 WordPress 数据库的各处，代码如下：

注入代码解析

让我们来分析一下这个注入代码的作用。

代码中的域名只是执行重定向的中转站，而非真正的目标站点。首先，浏览器被指示等待 60 秒，然后将用户重定向到域名 hxxp://redirect4[.]xyz，借着用户会在毫不知情的情况下再被重定向到以下垃圾网站：

hxxp://pontiarmada[.]com
这个垃圾网站 hxxp://pontiarmada[.]com 注入了 iframe，以传播恶意软件给毫不知情的访问者。

第二种注入：提升赌场网站权威性

第二种注入代码同样散布在 WordPress 数据库中，代码如下：

注入代码解析

hxxp://nomortogelku[.]xyz 这个域名指向一个赌博赌场网站，攻击者使用了黑帽 SEO 手段，在受感染的网站上放置了一个不可见的链接，以增加该网站的域名权威性，使其看起来更加合法。

两种注入的共性

这两种注入代码通常散布在 WordPress 数据库中，在 posts 表中可以找到。以下是受影响的网站截图：

这两种注入代码的共同点是使用了相同的 .xyz 域名后缀。使用这种后缀的恶意域名数量每天都在增加。攻击者会频繁更换域名，而 .xyz 这种后缀的域名第一年注册费用较为便宜，这可能是它被广泛使用的原因之一。

一次入侵，两种感染

当 WordPress 站点存在漏洞或者管理员用户的账户被破解，就会成为攻击者的目标。一旦攻击者获得了网站的访问权限，他们就能轻易地散布恶意软件。

很多攻击者甚至通过在同一个网站上植入多种恶意软件来牟利。因此，在同一个受感染的网站上找到多种类型的恶意软件并不罕见。

多个攻击者，利用相同漏洞

WordPress 插件和主题的漏洞是导致网站被感染和再感染的主要原因之一。

特别是当一个网站存在高危漏洞，或者是常见的插件存在漏洞时，不同攻击者利用相同漏洞对同一个站点进行不同类型的感染是非常常见的现象。

如何防护

攻击者通过注入多种恶意软件来利用易受攻击的 WordPress 网站，一旦网站被感染，则会损害网站的信誉，破坏网站的 SEO 排名。

可通过以下措施来保护您的 WordPress 网站安全：

1. 及时更新插件、主题和网站程序

启用自动更新是一种有效的方式，可以在修复发布时立即打上补丁。

2. 为所有帐户设置安全的密码

WordPress 管理员用户、FTP 帐户、cPanel 和服务器用户的凭据都需要使用复杂且安全的密码。

3. 限制 WordPress 管理员用户的数量

只有在绝对必要时才设置管理员帐户，其他用户要设置适当的用户权限。

4. 启用双重身份验证（2FA）

防止未经授权的访问，以保护 wp-admin 区域，或通过防火墙的受保护页面来保护后台管理面板。

5.使用安全防护软件

如安装防火墙，或者使用一些安全方面的插件，当然在选择插件的时候也需要注意甄别，要选择那些用户风评好，更新及时，且有一定用户数量的插件，更能够确保安全。此外也建议使用一些监控和扫描软件，Hostease的Sitelock，除了日常的监控和病毒扫描，Sitelock在某些时候还可以支持恶意代码的自动修复，这对于那些对代码不是特别熟悉的用户来说是非常棒的一个功能。

总结：

WordPress 网站常常因漏洞而成为攻击者的目标，特别是未及时更新插件、主题和核心系统时，更容易被恶意软件感染。为了有效防护，WordPress 网站管理员应及时更新所有组件、安装防火墙、设置安全密码、控制管理员数量并启用双重身份验证。通过这些措施，可以降低恶意攻击的风险，保护网站的安全性和信誉。