我最近开始更仔细地研究WordPress Sucuri插件和失败的登录日志文件。
为了限制尝试登录的次数,我在WordPress .htaccess文件中添加了一个IP白名单;即,任何来自不在列表中的IP尝试访问wp-admin的尝试都会得到403错误。我已经从几个不同的 IP 对此进行了测试,看起来可以正常工作 - 出现了 403 错误,并且由于登录页面未显示,因此没有尝试日志。
但是,"登录失败"日志中仍有 IP 记录的 IP 不在 IP 白名单中。
我必须假设登录页面有一些我不知道的后门。关于在哪里看的想法将不胜感激。
更新:这是我的.htaccess文件的样子
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
# Access 1
RewriteCond %{REMOTE_ADDR} !^1.2.3.4$
# Access 2
RewriteCond %{REMOTE_ADDR} !^1.2.3.5$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
经过进一步的研究,根据人们的反应,它看起来像是:
- 一个或多个插件中的后门/安全问题
- 网站已被入侵,并查看主题和数据库;核心文件看起来基于Sucuri日志完好无损。
换句话说,需要做更多的调查,但我希望这从下一步的角度来看对其他人有所帮助。