一次 WordPress 管理员账号密码泄露事件

昨天明月经历了一件有关 WordPress 站点安全意识的奇葩事儿，很是凸显现在互联网甚至个人电脑的安全形势，今天就给大家分享一下这个经历，希望可以提高大家对站点安全的防护意识，不要犯这样的错误。

事情是个非常简单的事儿，也没有带来多大的危害（不幸中的万幸，后面细说！），一个朋友的 WordPress 站点明月帮忙给弄着运维方面的事儿，一般运维我都是在 Linux 命令行控制终端来完成的，前端的很多东西我都是直接交给用户自己打理的，朋友因为是新手偶尔我也会帮其做一些网站前端的工作，昨天朋友说想换换网站的 logo 图片自己不会弄就把图片发给我了，就在这天的上午我还登录这个站点的 WordPress 后台做了一些布局和功能上的调整，至少可以肯定是至少下午 15 点之前都是正常的，谁知道我收到朋友 QQ 上发来的 logo 图片后因为下班回到家里竟然发现 WordPress 的管理员账号竟然无法登录了，提示是“密码不正确”，我去！前后也就是不到 2 个小时的事儿呀！问了朋友确认他也没有更改过管理员账号密码，也没有找回密码（ WordPress 一旦找回密码就会重置密码为随机字符密码发送至管理员邮箱），就这样，管理员密码彻底丢失。

仔细的分析后，问题可能就出在朋友那边了，因为自己无论是公司和家里的电脑都不可能造成这种问题的，我自己的几个站点都没有这样的问题。并且服务器端是我部署的，也是我一直负责运维的，从服务器端没有看出问题（没有对日志进行分析），这时候想起来到 360 网站卫士上看看，果然看到 15 点至 18 点这个时段网站竟然来了 24 个轻微的 CC 类攻击，IP 地址是我们本地电信的，不是我公司的也不是我家里的，根据这个时段期间攻击最频繁的时段推算就是朋友给我传 logo 图片那个时间段，再次跟朋友联系确认这个时间段才知道他正在广告公司设计 logo 图片，并且完成后用广告公司的电脑登录过站点后台。

至此密码泄露原因和地点都找到了，问题就出在广告公司电脑上了，据明月的判断应该是个浏览器插件/扩展或者是电脑上某个程序动的手脚，就目前国产浏览器的乱象，浏览器有 80%的可能是主犯，获取到管理员账号和密码后就迫不及待的进行上传了，这个动作被 360 网站卫士给检测到并记录了下来。至于其上传行为明月倒是不用担心，因为 WordPress 站点的管理员账号和密码都是单独设定的，跟 FTP 完全没有关系，自然上传是失败的，所以尝试了 20 多次后也就放弃了。

问题找到了，给朋友简单说了一下前因后果，强调了一下尽量不要在不明电脑上登录 WordPress 站点后台，最后通过 phpMyAdmin 修改 WordPress 数据库数据表 wp_user 重置了管理员密码可以正常登录站点后台。

其实这是个小事儿，但是就是这样一个随机发生的小事儿就凸显出现在网络安全形势有多“糟糕”，就明月的交际范围内接触的电脑几乎没有几个是干净安全的，甚至某些程序猿、攻城狮的电脑上也是“木马”、“肉鸡”横行无忌，至于各种后门、暗门不用想都知道会有多少，在这样几乎没有什么秘密可言的电脑上登录操作网站后台就跟在外面为了一圈人的“玻璃浴室”里洗澡的感觉一样了。这让明月又想起来去年一个客户的 WordPress 站点几乎隔几个月整个站点的样式表和数据库就会被篡改和丢失一次，肯定也是这个原因造成的，最后再啰嗦一句就明月碰到的这些奇葩事儿中的电脑上都会看到 360 电脑卫士、腾讯安全管家、金山毒霸这类安全软件的，夸张点儿的 4-5 个安全软件共存的都有！好讽刺、好尴尬呀！

作为一个站长在运维好服务器的前提下自己使用的个人电脑/笔记本往往是个安全防御盲区，如果哪天你发现你的站点总是莫名其妙的被植入木马、后门甚至篡改的，明月建议你好好检查一下自己电脑上、使用的浏览器有没有不干净的东西，正所谓“家贼难防”呀！