WordPress 安全插件的最新漏洞，影响了大约 160 万个网站

#漏洞#

WordPress 安全插件的最新漏洞

WPS 隐藏登录暴露了用户的秘密登录页面，影响了大约 160 万个网站！

美国政府国家漏洞数据库将该漏洞评为高级漏洞利用，在 1 到 10 的范围内给予其 7.5 分，其中 10 分别代表最高威胁级别。该漏洞允许恶意黑客破坏插件的目的（隐藏登录页面），从而使站点暴露于解锁攻击中。该漏洞完全破坏了插件本身的预期目的，即隐藏 WordPress 登录页面。WPS Hide Login 安全插件通过隐藏管理员登录页面并使用 wp-admin 目录无法访问来阻止黑客尝试访问 WordPress 站点。超过一百万个网站使用 WPS 隐藏登录来增加更深层次的安全性。

攻击 WordPress 网站默认登录页面的黑客和黑客机器人实际上并不需要插件。完成同样事情的一种更简单的方法是将 WordPress 安装到具有随机名称的目录文件夹中。登录页面黑客机器人会寻找正常的登录页面，但它并不存在于预期的 URL 位置。登录页面实际上隐藏在 /random-file-name/wp-login.php 中，而不是存在于 /wp-login.php 中。

WPS Hide Login 插件的发布者通过修补漏洞更新了插件。登录机器人始终假定 WordPress 登录页面位于默认位置，因此它们从不去其他位置寻找它。WPS 隐藏登录 WordPress 插件对于已经在根目录中安装了 WordPress 的站点非常有用，例如 example.com/。受影响插件的用户应更新到最新版本 1.9.1，以隐藏他们的登录页面。

v.1.9.1的致命bug

此插件 (v.1.9.1) 仅隐藏通过 URL 直接访问的页面。如果您的网站上有搜索框和原页面（登录、注册、会员等），则可以在您的网站上搜索字符串“登录”并找到隐藏的登录页面。请记住将登录页面的名称更改为其他名称。也可以更改所有页面的标题，例如“注册”和“重置密码”。如果您有多种语言设置，请记住对每页的所有语言执行此操作。

一旦黑客已经知道它，你还需要更改 page_id 号。最安全的做法是的是删除那些原页面。

一键重置wordpress网站数据，快速删除网站数据

在测试过程中我们经常添加或者导入各种数据，如果不需要了，希望恢复到最初的状态，一般是手动删除相关内容，或者直接清除数据库，再重新安装wordpress。

其实还有更简单的办法，那就是使用WordPress Reset插件，使用WordPress Reset插件，可以直接在后台一键恢复，自动删除已有的内容，包含文章、页面、分类、标签、用户、主题和插件生成的数据，并启用默认主题，禁用插件（不会删除主题和插件文件），总之就是恢复到刚安装wordpress的时候的样子，这一切都是这么的简单！

插件安装

方式一：后台插件直接搜索插件名称安装

方式二：下载插件手动上传安装，插件下载地址：https://wordpress.org/plugins/wordpress-reset/

网站重置

安装插件后，进入后台工具>reset，在最下面的选项输入reset，然后提交即可重置网站到初始状态。