php - “秒值不匹配” - 尝试登录 wordpress 时

我没有好消息告诉你。经过更深入的谷歌搜索后，我发现了罪魁祸首：您的一个插件（甚至可能是核心 WordPress 文件）已被所谓的sasdk123后门入侵。既然你提到你已经直接从 WordPress.org 下载了 WordPress，我只能假设你有一个插件和/或一个有这个后门的主题。

您提到了 PHP 7.2 和使用.htaccess文件——我想这表明您正在使用 Apache——但没有提到您用于提供 Web 服务的操作系统。如果您正在运行 Linux/FreeBSD/macOS，那么您应该执行以下操作：

• 转到您网站的文档根目录（您已安装 WordPress）
• 使用递归搜索该短语grep "Sec value dont match" -R *
• 最终，它会攻击受感染的文件（或多个文件），您应该立即将其删除
• 如果该文件属于特定插件/主题，只需删除整个插件/主题；它很可能已受到损害，并且总是有可能通过远程下载自身的新副本来尝试“自我修复”；如果您仍然无法登录，请使用WordPress 命令行工具，它应该允许您从 shell 有选择地禁用和启用插件和主题
• 如果由于某种原因（例如，因为您无权在远程服务器上运行命令）但可以访问 SFTP 或基于 Web 的 FTP 或类似的东西，您不能这样做，那么请转到该wp-content/plugins文件夹​​，为每个插件里面，然后一个一个删除，直到可以登录为止；如果您仍然无法登录，则对主题执行相同操作（您将需要至少一个主题，否则 WordPress 将无法工作；您始终可以坚持使用官方默认主题之一，例如twentytwentyone；如果未安装，然后您可以从 WordPress 库中下载它（只需点击该链接），然后将其上传到wp-content/themes文件夹
• 完成上述所有操作后，您应该仍然拥有所有内容（包括用户及其密码），但缺少某些功能（取决于感染了哪些插件或主题）。没关系。在你重新安装所有东西之前——从wordpress.org! — 帮自己一个忙，安装一个安全插件。每个人都有自己的最爱，但我个人推荐Wordfence。由于您使用的是 Apache，我的第二个选择是BulletProof Security。还有更多（例如，有些人对 Sucuri 发誓），但我真的只用过这两个，所以我个人不能推荐其他任何东西。

Wordfence直接开箱即用（您可以稍后对其配置进行微调），甚至免费版本也可以清理您的整体 WordPress 配置；它还具有强大的网络防火墙来阻止传入的攻击，以及许多其他功能。例如，我使用它来提供双重身份验证（这些天必须），因为它是内置的（不需要其他插件！）并且免费（与 Jetpack 的解决方案不同）。

最重要的是，Wordfence 团队在网络安全领域赢得了一些声誉。他们积极与其他安全团队（例如 WordPress 自己的、Google、Cloudflare 等）保持联系并交换他们的取证数据——然后在他们的公司博客上撰写大量报告。多亏了它，我才终于弄清楚这是一个什么样的后门。

具有讽刺意味的是，引起我注意的是拼写错误（dont而不是don't）。WordPress 翻译团队几乎不会放过这么明显的事情。当然，它可能是来自第三方插件而不是来自核心代码的消息；但是，无论如何，在 Google 上搜索任何主题、插件或核心中的任何消息都应该容易得多；毕竟，此类消息不仅在公共服务器上，而且还可以翻译（在WordPress Translate页面上，以前称为 Glotpress）。

所以唯一合理的解释是，这是来自任何一方的信息

• 付费插件/主题，可能未在 WP 库中公开列出（因此它不会被 Google 抓取）
• 您自己的内部开发（在这种情况下，您应该知道消息来自哪里！）
• 有人黑了你的 WP 安装⚠️

好吧，不幸的是，情况似乎如此

您不是第一个在尝试插件时发现该错误消息的人；事实上，两年前在 Wordfence 的支持论坛上，该线程上出现了该错误消息。

因为 Wordfence 用代号标记了那个后门PHP/sasdk123.4871，这意味着安全专家以前遇到过这个后门。我们现在可以追溯到 2017 年，当时Wordfence 的一份报告谈到了一个后门出现在一个名为 WordPress Captcha 的插件上。它背后有一个相当黑暗的故事，Wordfence 团队津津有味地深入其中——它读起来就像一部赛博朋克侦探小说，而且更可怕、更黑暗，因为它发生在（正在发生！）在现实世界中。Bleeping Computer也接了这个故事并跟进了。

这个后门影响了至少 300,000 个 WordPress 安装；幸运的是，在大多数情况下，没有任何危险的副作用，而且大多数人甚至不知道他们的系统中有这个后门。它不会减慢系统速度；它不会占用宝贵的 CPU 时间、内存或磁盘空间（它不是在挖掘加密货币！）。结果并不违法（即它没有开始发布儿童色情内容或充当盗版软件/音乐/视频的门户）。结果，不容易被发现。

后门的目的要邪恶得多，而且不是很明显。而且，正如它经常发生的那样，它是纯粹靠运气发现的。

早在 2017 年，WordPress 核心团队的某个人就标记了 WordPress Captcha 插件，因为它侵犯了 Automattic 的商标“WordPress”。换句话说，如果您将插件命名为“WordPress Something”，则意味着您试图通过 Automattic 品牌的正面形象受益，暗示您的插件以某种方式得到了他们的认可/批准。当然，事实并非如此，因此他们将其标记为审查，这主要意味着插件所有者很可能会收到立即更改插件名称的警告，否则可能会被从官方 WordPress 库中删除。显然，没有“立即”响应，因为 Automattic 确实删除了插件。

插件被删除的原因有很多，其中大部分与插件被其原始创建者遗弃有关——这意味着这些插件没有被更新/升级，并且可能存在安全漏洞，没有人愿意纠正。这是不使用“废弃”项目的主要原因之一，即使它们是完全无害的——或者在它们被编写时是无害的。谁知道从那以后可能发现了哪些安全漏洞？

当 Automattic 删除插件或主题时，Wordfence 团队会收到通知。他们会将那个插件/主题放在他们的“废弃插件/主题”列表中，以警告他们的用户。由于许多插件可能由于安全漏洞而被删除，他们也倾向于更详细地检查他们的代码（以了解漏洞利用的工作原理并针对它构建新的安全对策）。然而，在这种情况下，删除的原因是“侵犯插件名称的版权”，所以他们并没有过多考虑这个特定的插件。

不过，纯属偶然，他们确实审计了代码——他们发现的是这个sasdk123后门。如果您有兴趣将其与受感染的代码进行比较，可以使用它的几个副本。您可以清楚地看到消息出现的位置：就在开头，在某种功能上，该功能试图确定这是否是黑客远程登录的尝试。

为什么这个特殊的漏洞利用？好吧，您应该阅读 Wordfence 完成的 3 或 4 份报告；他们并不局限于检查黑客的技术方面，而是——更有趣的是，恕我直言——社会方面。

从本质上讲，该黑客旨在在毫无戒心的网站的文章和页面上注入链接——这对网站访问者来说是不可见的，但对于谷歌爬虫机器人来说却不是，因此会增加这些注入链接的排名。现在想象一下——一个被 300,000 个网站使用的插件已经感染了这个后门。这意味着 300,000 个网站指向相同的链接。您可以想象这些链接的 Google 排名会如何飙升！这不是唯一被感染的插件；至少还有七个（可能更多）。

为了什么？好吧，如果我们可以依靠 Wordfence 团队的法医报告，显然所有这些都可以追溯到与在线销售医疗药品的阴暗操作相关的特定个人（据称即使没有处方）。这家伙会在几家合法购买的空壳公司背后行动这些来自其原作者的高调插件并将其后门代码放入其中 - 当成千上万的网站所有者看到新版本可供下载时，他们会在不知情的情况下立即安装受感染的代码，并开始链接回在线药店——从而提高了其在谷歌上的排名，使其成为最引人注目的药店之一。显然，这个庞大的僵尸网络不仅仅用于提升单个网站的评级；现在可以事实证明，这种“排名助推器服务”的客户很多，主要是在线赌场和类似的企业，这些企业通常很难做合法的广告，别无选择，只能聘请像这样的阴暗企业。

虽然最终已知的受感染插件案例被“修复”——有时 Automattic 会强制推送插件的补丁版本，有时他们会简单地从库中删除插件并期望网站所有者最终阅读警告消息——问题仍然存在其他插件/主题可能仍然存在，仍然将链接注入基于 WP 的网站。我当然是此类攻击的受害者，尽管使用了完全不同的感染媒介——然而，目的是相同的，添加链接以提高他们在 Google 上的排名；他们只是不那么小心，也没有“隐藏”他们的链接，所以，最终，我找出了哪些网站已经被入侵并清理了它们。但这并不是“一蹴而就”的，事实上，我不知道我的网站提升了那些半合法、阴暗企业的排名多久了。

顺便说一句，在撰写本文时，这个 2017 年漏洞利用背后的人仍然共同拥有在线药店背后的公司。如今，他的家人（其中大部分人在公司工作）如今已成为百万富翁，尽管他们的功绩早已被公开曝光，但他们似乎被当局忽视了。

对于我们 WordPress 用户来说，这意味着仍然存在恶意黑客，如果他设法购买插件来感染它们，而没有人阻止他，那么他会一次又一次地这样做。

这就是为什么让那些知名的安全插件之一在自己的网络服务器上运行如此重要的原因——所有这些插件——即使以性能略有下降为代价（无论如何这可能只在后台才会被注意到）。