ARTICLE AD BOX
從本質上講,該漏洞完全違背了挿件本身的意圖,即進入WordPress登入頁面 p>
WPS Hide Login
WPS Hide Login information挿件通過隱藏頭部登入頁並使wp admin目錄不可訪問,挫敗了駭客對WordPress tract進行求和的企圖 p>
WPS隱藏登入被隱式1基數網站利用,以實現更深層次的安全性 p>
廣告
繼續閱讀下麵的內容
擊敗攻擊WordPress tract默認登入頁面的駭客和駭客機器人; 我真的不需要挿件。 執行上述操作的一種簡單管道是將WordPress安裝到一個帶有隨機名稱的目錄資料夾中 p>
出現的情况是登入頁面駭客機器人的意志問題忽略了平均登入頁面,但它沒有; t鈹蝦青素-預期的URL位置 p>
而不是現有的astatine/wp登入。 php登入頁面有效地隱藏了一個靜態/隨機檔名/wp登入。 php p>
登入機器人曾經假定WordPress登入頁面是一個默認位置,老實說,他們從來沒有在一個相反的位置尋找它 p>
廣告
繼續閱讀下麵的內容
WPS隱藏登入WordPress挿件適用於已成功安裝WordPress根目錄的網站,例如。 com/ p>
漏洞報告
公開報告該漏洞與挿件有關; 第二頁 p>
該挿件的一個特性報告說,如果主位置leapage被重定向,則在URL中添加一個間接記錄,從而重定向隱藏登入頁面的URL p>
不過他們解釋道:
“ 如需有關追跡域的說明:sub.domain。 com if域。 com重定向到子功能變數名稱。 com確定是進入URL域的第一步:
。 com和adhd/wp管理/選項。 php通過它重定向到sub.domain。 com/changedloginurl,您可以發現登入url並可以登入& rdquo p>
安全網站發佈了一份概念證明
WPScan,一份WordPress資訊法令發佈了一份概念證明。 概念的不可滲透性是一種心理狀態,表明脆弱性是真實的 p>
資訊研究人員發表了以下文章:
&ldquo; 該挿件有一個bug,它允許通過安裝一個隨機的referer抽繩並向/wp admin/o選項請願來獲取隱藏的登入頁面。 php是未經身份驗證的用戶< br>概念證明
curl&ndash; referer&ldquo; 有些東西&rdquo- 六個人 https://example.com/wp-admin/options.php
HTTP/2 302&rdquo p>
美國當局國家脆弱性資料庫將該脆弱性評定為早熟程度的利用,將其劃分為7.5人,標準為1到10人,10人代表最高威脅級別 p>
廣告
繼續閱讀下麵的內容
修補的WPS隱藏登入漏洞
WPS隱藏登入挿件的發佈者通過修補漏洞更新了挿件 p>
該點包含成功的心理狀態1.9。 1.
根據WPS登入更改日誌:
&ldquo; 1.9. 1
修復:旁路資訊內容允許未經驗證的特殊用戶通過curl請求掛載隨機referer drawstring來獲取登入頁面 p>
通過捲曲請求安裝一根隨機的referer抽繩來翻頁& rdquo p>
受影響挿件whitethorn privation的用戶可以看到更新到最新版本1.9。 1、成功競標,有效降低其登入頁面 p>
引用
美國政府國家漏洞資料庫
CVE-2021-24917詳細資訊
WPS隱藏登入漏洞的WPScan報告
WPS隱藏登入<1.9。 1&ndash; 帶引用頭的保護旁路
廣告
繼續閱讀下麵的
漏洞挿件報告
繞過安全問題 p>
官方挿件更改日誌
WPS隱藏登入更改日誌