写文章
wwwwhyz
2023-06-14 22:38

小心!Fiverr上的外包用代码增加网站管理员用户

最近发现网站的child theme里的function php文件里有一段奇怪的代码,看了下有user, pass,admin_account之类的字段,把这段代码丢到ChatGPT里,告诉我该段代码是增加了一个用户权限并且在界面隐藏了这个用户。

一般正常交付工作之后,给外包的credentials会直接删掉或者改密码。如果不是检查代码文件,根本不知道被增加了这个unauthorized backdoor access。很后怕,这个外包私自增加这个管理员用户并且隐藏,是多大的安全隐患。

还是想发贴讲一讲这个事。外包的安全问题。尤其是我找的这个外包在fiverr网站建设是排前几名的,客户群体很大,不知道经手了多少网站都是这样的。我以为找前几名大家都用的服务,大概率是可以相信的,没想到也会出现这样的事。现在网站流量也不多,暂时没有发现什么,但很难想象他们故意留存这个access未来想做些什么。

我的处理方法:删除代码之后,user界面显示出了这个user,也一并删除。同时ChatGPT给出的建议是检查theme files,plugins所有代码,保持plugin及时更新,更改所有密码。

如果有朋友有类似的经历或者对网站安全加强的措施,也请分享下吧。

举报
收藏
转发
0/500
添加表情
评论
评论 (1)
最近
最早
3天2夜学会建站
置顶时间 :

设置帖子类型

普通
新闻
活动
修改

圈内转发

0/104

分享至微信

复制链接

举报

请选择举报理由

留联系方式
垃圾广告
人身攻击
侵权抄袭
违法信息
举报

确认要删除自己的评论吗?

取消 确定

确认要删除自己的文章吗?

取消 确定
提问
设置提问积分
当前可用积分:
-
+
20
50
100
200
偷看

积分偷看

10积分
我的积分(可用积分)
确认偷看

问题已关注

答主回复后,系统将通知你

不再提示