亦真亦假：技術剖析 WordPress 黑帽 SEO 插件

這個看起來更加可疑，其注入了一段加密了代碼。我們進行了解密，驚奇的發現這段代碼也很正常。正如插件作者在開頭備註中所説的一樣，這是進行第二次驗證。如果登錄名和密碼是有效的，就會向 WP 數據庫檢索用户郵箱，將從第三個字符開始進行替換直到 @符號位置，最後要求驗證該郵箱。

所以，即使機器人支持 Javascript 以及 cookies，並且幸運的通過了第一層反機器人保護，在第二層也是會失敗的，因為第二層保護是需要對郵箱進行驗證的。這樣即使是有人盜取了你的 WordPress 密碼，如果沒有進行郵箱確認也是無法登錄的。

用户對電子郵箱地址進行確認過後，會有一個額外的設置步驟，對‍‍WP_FLV_EMAIL_CONFIRMED‍‍cookie 設置為保存 1000 天，所以他們不需要每次登錄都進行郵箱驗證。

最後的 「bootstrap」 部分，包含了將 wp-core.php 注入到 index.php 的代碼 （你可以在文章的開頭看到） 。它能夠確保 「bruteforce protection」 一直都能夠使用，如果 wp-login.php 中的代碼被移除，它能夠自己進行修復。

如果我們忘記通過非常規方式向 WordPress 添加功能，這段代碼確實能夠起到強有力的保護機制。當然，這並非看上去那麼完美，對於那些有針對性的攻擊起到的作用並不大，特別是當攻擊者瞭解這個保護機制以後。但是無法否認的是，這個保護機制確實會為站長解決一些不必要的麻煩，至少這個保護機制能夠防止目前 95% 的自動化枚舉攻擊。

講了半天，難道這個插件真真正正的是一款不可多得的優秀插件？我會告訴你 wp-core.php 中 500 多行的代碼中有關 「bootstrap」 的代碼不足 100 行？那麼剩下的 80% 代碼都是做什麼的呢？

wp-core.php 中的惡意代碼‍‍

那麼剩下的那 80% 代碼都是沒有保護作用的。

舉個例子，它可以顯示所有存儲在 WordPress 數據庫中的電子郵箱，如果不需要授權就可以提取郵箱地址，之前的保護也就變得毫無意義了。

同時，還安裝有一個開放的重定向器。現在黑客就可以向使用了 「bruteforce protection」 的網站站長髮送垃圾郵件了，釣魚再或者對網站訪客進行重定向到一個黑客指定的網站。

實例演示

‍‍wp-core.php 的主要功能就是管理 pharma-spam doorways 。如果一個博客的 URL 有其特定的參數 （比如 「th」，類似 http://www .example .com/?th=doryx+150mg+exclusivity） 那麼 wp-core.php 會將正常的博客內容替換成垃圾內容。

如果訪問者不是機器人，而是來自搜索引擎。那麼它會通過單獨的關鍵字，重定向到其他網站

在跳轉之前，惡意插件會設置一個相同命名的 cookies 作為 URL 參數。在接下來的 100 天內，相同的訪問者如果再次打開網頁依舊會進行跳轉到其他頁面。

如果訪問者沒有 cookies，也不是從搜索引擎過來的。這樣的訪問者所訪問頁面就會顯示大量的垃圾內容。

這些垃圾內容就存儲在 wp-admin/update-backup.db 文件中

通用性

‍‍必須要提到一點，儘管這是一個 WordPress 插件, 但是同樣可在其他 PHP 站點中運行。唯一的區別只是 WP-specific 函數無法使用而已。

總結

‍‍總之這個插件真的很奇怪。‍‍它試圖將所有類型的 PHP 站點作為目標，並將自身注入到 index.php 。但主要目標還是 WordPress 站點。

這樣就可以解釋為何以 wp-core.php 命名了，並且在 WordPress 根目錄下也不是那麼的顯眼，但是這個文件在 Joomla 或者 vBulletin 搭建的網站下就顯得十分刺眼了。

wp-core.php 文件很容易被安全性插件通過檢測 WordPress 核心完整性然後查殺。為了分散使用者的注意，該插件包含有一些能優化 WordPress 的功能。

最後，最近經常爆出 WordPress 插件的漏洞，希望各位在使用各種插件的時候多仔細審查，免受無妄之災。