也不知道是得罪了谁，前一阵子网站每天都被刷搜索引擎关键词，最近网站被攻击的频率也明显比之前多了，而且更有针对性一些，之前都是在扫描一些老漏洞比如FCkEditor,thinkphp等等，这些都对我的站点没啥影响，但最近我观察到很多利用wordpress漏洞的，还是比较担心的，现将其中一部分漏洞做一个整理汇总，希望与我一样使用wordpress建站的朋友一定要注意，文章比较长，请静下心来逐个去和自己网站做一下对比。

大体分析了一下请求日志，除了wordpress部分版本本身的漏洞主要还是利用一些插件的漏洞，而这些插件漏洞又分为几类：

一、跨站脚本攻击（XSS）

1、indexisto

漏洞所在文件：

/wp-content/plugins/indexisto/assets/js/indexisto-inject.php

2、whizz

漏洞所在文件：

/whizz/plugins/delete-plugin.php

3、anti-plagiarism

漏洞所在文件：

/wp-content/plugins/anti-plagiarism/js.php

4、s3-video

漏洞所在文件：

/wp-content/plugins/s3-video/views/video-management/preview_video.php

5、wpsolr-search-engine

漏洞所在文件：

/wp-content/plugins/wpsolr-search-engine/classes/extensions/managed-solr-servers/templates/template-my-accounts.php

6、page-layout-builder

漏洞所在文件：

/wp-content/plugins/page-layout-builder/includes/layout-settings.php

7、e-search

漏洞所在文件：

/wp-content/plugins/e-search/tmpl/date_select.php

/wp-content/plugins/e-search/tmpl/title_az.php

8、tidio-gallery

漏洞所在文件：

/wp-content/plugins/tidio-gallery/popup-insert-help.php

9、parsi-font 

漏洞所在文件：

/wp-content/plugins/parsi-font/css.php

10、defa-online-image-protector

漏洞所在文件：

/wp-content/plugins/defa-online-image-protector/redirect.php

11、new-year-firework

漏洞所在文件：

/wp-content/plugins/new-year-firework/firework/index.php

12、simpel-reserveren

漏洞所在文件：

/wp-content/plugins/simpel-reserveren/edit.php

13、ajax-random-post

漏洞所在文件：

/wp-content/plugins/ajax-random-post/js.php

14、admin-font-editor

漏洞所在文件：

/wp-content/plugins/admin-font-editor/css.php

15、hdw-tube

漏洞所在文件：

/wp-content/plugins/hdw-tube/playlist.php

/wp-content/plugins/hdw-tube/mychannel.php

16、hero-maps-pro

漏洞所在文件：

/wp-content/plugins/hero-maps-pro/views/dashboard/index.php

17、photoxhibit

漏洞所在文件：

/wp-content/plugins/photoxhibit/common/inc/pages/edit_styles.php

/wp-content/plugins/photoxhibit/common/inc/pages/build.php

18、pondol-formmail

漏洞所在文件：

/wp-content/plugins/pondol-formmail/pages/admin-mail-info.php

19、heat-trackr

漏洞所在文件：

/wp-content/plugins/heat-trackr/heat-trackr_abtest_add.php

20、tidio-form

漏洞所在文件：

/wp-content/plugins/tidio-form/popup-insert-help.php

21、simplified-content

漏洞所在文件：

/wp-content/plugins/simplified-content/ooawpframework/js/ajax/OOAAjax.js.php

22、infusionsoft

漏洞所在文件：

/wp-content/plugins/infusionsoft/Infusionsoft/examples/leadscoring.php

23、quiz-master-next<6.3.5

漏洞所在地址：

/wp-admin/admin.php

24、easy-digital-downloads<2.11.6

漏洞所在地址：

/wp-admin/edit.php

二、文件包含漏洞

1、wp-payeezy-pay

漏洞所在文件： 

/wp-content/plugins/wp-payeezy-pay/pay.php

/wp-content/plugins/wp-payeezy-pay/pay-rec.php

/wp-content/plugins/wp-payeezy-pay/donate.php

/wp-content/plugins/wp-payeezy-pay/donate-rec.php

2、mail-masta

漏洞所在文件： 

/inc/campaign/count_of_send.php

/inc/lists/csvexport.php

3、gracemedia-media-player

漏洞所在文件：

/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php

4、wechat-broadcast

漏洞所在文件：

/wp-content/plugins/wechat-broadcast/wechat/Image.php

5、cab-fare-calculator

漏洞所在文件：

/wp-content/plugins/cab-fare-calculator/tblight.php

三、函数调用

1、VR Calendar < 2.3.2

漏洞所在路径： 

/wp-admin/admin-post.php

四、SQL注入

1、ChopSlider 3.4

漏洞所在文件：

/wp-content/plugins/chopslider/get_script/index.php

五、任意文件上传

1、Imagements <= 1.2.5

2、simple-file-list

漏洞所在文件：

/wp-content/plugins/simple-file-list/ee-upload-engine.php

/wp-content/plugins/simple-file-list/ee-file-engine.php

3、wp-file-manager

漏洞所在文件：

/wp-content/plugins/wp-file-manager/lib/php/../files/mypoc.php

4、WPCargo < 6.9.0

漏洞所在文件：

/wp-content/plugins/wpcargo/includes/barcode.php

六、写在最后

除了上面列举的漏洞，还有特别多的其他漏洞我们需要注意，由于篇幅问题这里不一一列举，文末会放上一个每天更新的wordpress漏洞请求地址集合的链接，有需要的朋友可以去关注。

这些漏洞一般都存在于特定的wordpress版本/特定的插件版本中，所以理论上我们只要及时更新wordpress/插件，就能基本保证站点的安全，而wordpress本身提供了自动更新机制，如果能用上自动更新那无疑又增加了一重保障，如果你还不知道怎么开启wordpress站点自动更新，可以参考：《了解并学会使用wordpress自动更新》，另外对于一些已经不更新的插件就不建议大家使用了。

另外，建议大家对网站请求日志进行监控分析，如果同一IP短时间内出现大量404请求，则大概率是有异常，可以直接封禁其IP，当然前期我们需要将站点可能出现404的地方给修改好，避免影响正常用户，本站后面也会介绍如何利用shell脚本+定时任务自动监控404请求并对用户进行管理，感兴趣的朋友可以关注一下。

如需获取上文提到的每天更新的wordpress漏洞请求地址集合的链接，请在关注本站公众号后发送：wordpress