事件背景
近期,全球数百万使用WordPress搭建的网站遭到大规模恶意注册攻击。攻击者利用自动化脚本批量创建虚假用户账号,导致服务器资源被大量占用,部分网站甚至因数据库过载而瘫痪。安全机构统计显示,仅过去一周就有超过12万个WordPress站点受到影响,其中未及时更新系统的老旧网站占比高达78%。
攻击手段分析
利用默认注册接口 WordPress默认开放用户注册功能,攻击者通过
/wp-login.php?action=register接口发起自动化请求。暴力破解验证机制 部分网站虽启用验证码,但攻击者使用OCR识别技术或第三方打码平台绕过限制。
插件漏洞利用 流行插件如Ultimate Member、Profile Builder存在未修复的API漏洞,允许绕过邮箱验证。
紧急应对方案
立即生效措施
- 关闭开放注册 在「设置-常规」中取消勾选”任何人都可以注册”选项
- 启用双重验证 安装插件如Wordfence或iThemes Security强制要求邮箱/手机验证
- 清理垃圾用户 使用Bulk Delete插件批量删除角色为”订阅者”的异常账号
中长期防护策略
| 防护层级 | 具体方案 | 推荐工具 |
|---|---|---|
| 服务器层 | 配置WAF规则拦截高频注册请求 | Cloudflare, Sucuri |
| 数据库层 | 限制每小时注册次数 | Query Monitor插件 |
| 代码层 | 重命名注册接口路径 | WPS Hide Login插件 |
行业专家建议
阿里云安全团队提出”3-2-1防御法则”:
- 至少3种验证方式组合(图形验证码+邮箱确认+行为验证)
- 每日注册量不超过正常值2倍时触发人工审核
- 每周1次安全扫描检查用户表异常
目前WordPress核心团队已发布5.9.3紧急更新,建议所有用户立即升级。对于无法立即更新的站点,可通过在functions.php中添加以下代码临时禁用注册:
add_filter('option_users_can_register', function($value) {
return false;
});
网站管理员应持续关注/wp-admin/users.php页面,发现单日新增用户数异常增长(超过日常10倍)时需立即启动安全审计。
