这是一个 wordpress 黑客?

Is this a wordpress hack?

显然,我并没有分享所引用的实际网站,但该页面本身并没有什么特别之处。只是一个普通的 wordpress 页面,上面没有异常的脚本。但是,我们收到了这条消息:

=========

一位白帽黑客刚刚报告了一个示例问题。com/sub-page。你可以运行任意javascript,看来,通过修改URL:

https://example.com/subpage/#__proto__=&0[style][0]=1&0[style][1]=%3Cimg/src/onerror%3dalert(document.domain)%3E

=======

这是真正的黑客还是只是想获得奖励?当我转到修改后的 link 时,没有任何反应。我们有 Wordfence 和标准托管安全性。我试图了解这种“黑客攻击”是否只是一种网站规范,或者是否需要在我们的 wordpress 网站上安装额外的安全措施。

如果包含在您的 link-示例中的 javascript 被执行,它将生成一个带有您的域的警告提示框。如果你能看到它,那么你的网站就有 XSS-Vulnarability.

这是为了检查您的网站是否可以被黑客入侵。如果它显示结果,那么下一步就会有攻击。 因此,采取必要的安全措施来减少漏洞。

为了防止 Wordpress 中的跨站点脚本,您可以下载安全插件,无论如何我都会这样做,并将参数硬编码到您的 php 代码中。 Wordpress 安全套件可能会自行执行此操作,但查看代码以确保确定会有所帮助。