插件类中的Wordpress ajax admin-ajax.php 400 - 腾讯云开发者社区

文章/答案/技术大牛

发布

WordPress 文章无法保存？试试这些实用修复技巧

=> 关闭默认规则-其他-SQL 注入防御，XSS 防御 => 关闭调整访问频率限制策略，避免WAF拉黑自己，如设置为：10秒内允许200次请求或 10秒内允许400次请求注意：1.WAF 中的“网站设置...二、插件冲突：功能强大≠没有副作用许多插件，尤其是安全类、SEO类、表单类插件，可能会通过钩子干扰 admin-ajax.php 的正常执行，导致返回非 JSON 内容。...常见“嫌疑插件”包括：Wordfence（安全）Yoast SEO（优化）Elementor（页面构建）Contact Form 7（表单）三、主题代码异常：functions.php 的隐藏陷阱有些主题文件中存在调试语句...五、核心文件损坏：WordPress 的“系统感冒”虽然少见，但 admin-ajax.php 或 class-wp-ajax-response.php 等核心文件若被病毒篡改或升级中断，也可能引发此问题...修复方法：检查 wp-config.php 中的通信密钥是否配置正确；暂时禁用相关安全插件或服务器 WAF，测试是否恢复。

4341 0

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

首先，这是一个演示该漏洞的快速视频：漏洞该漏洞发生在 WordPress Query ( WP_Query ) 类中。WP_Query对象用于对 WordPress 数据库执行自定义查询。...插件和主题使用此对象来创建他们的自定义帖子显示。当插件使用易受攻击的类时，就会出现该漏洞。一个这样的插件是Elementor Custom Skin 。...在这个插件中，易受攻击的WP_Query类在ajax-pagination.php的get_document_data方法中被利用： public function get_document_data...is called } 图 2 - wordpress/wp-admin/admin-ajax.php admin-ajax.php页面检查请求是否由经过身份验证的用户发出。...同样， Contact Form 7中的文件上传漏洞插件也被检测为被趋势科技传感器利用。在这种情况下，错误通过插件暴露，但存在于 WordPress 本身中。

5.3K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

渗透测试之黑白无常“续”

WordPress中的add_action是添加动作的，也就是添加到admin_ajax文件的，后面还拼装了一个$this->prefix参数，查看该参数的值。 ?...默认值为bwg，所以根据WordPress的规则这里拼出的URL应该就是： http://localhost/wordpress-5.2.3/wp-admin/admin-ajax.php?...最后拼接出来的payload如下： http://192.168.121.128/wordpress-5.2.3/wp-admin/admin-ajax.php?...://192.168.121.128/wordpress-5.2.3/wp-admin/admin-ajax.php?...这里就使用内联注释来处理and，最终的payload如下： http://192.168.121.128/wordpress-5.2.3/wp-admin/admin-ajax.php?

2.4K1 0

WordPress二次开发之调用ajax

默认值：None $src：（可选）WordPress网站根目录下的JS路径。如：”/wp-includes/js/xxx.js”。...({ type:'post', url:ajax_object.ajax_url, //使用本地化函数定义的类 data:{...(function())的方式不能使用 $(function(){})这种方式经测不能引入jquery 处理ajax请求这里我们不能之间在admin-ajax.php中对ajax进行处理，这样做就是修改了核心文件...我们在初始化的时候将函数添加到这两个钩子上即可在插件中对ajax请求进行处理在构造函数中 public function __construct() { add_action(...type:'post', url:ajax_object.ajax_url, //使用本地化函数定义的类 data:{ action

1.3K1 0

如何编写和优化WordPress网站的Robots.txt

要知道WordPress robots.txt文件中的“Disallow”命令与页面头部的元描述noindex 的作用不完全相同。...Yoast建议保持robots.txt干净，不要阻止包括以下任何内容： User-agent: * Disallow: /wp-admin/ Allow: /wp-admin/admin-ajax.php...简而言之，禁止你的WordPress资源，上传和插件目录，许多人声称可以增强你的网站的安全性，防止任何目标易受攻击的插件被利用，但实际上可能弊大于利，特别是在SEO方面。...或者，您应该卸载这些不安全的插件更实际些。这就是我们默认从robots.txt中删除这些规则的原因。但是，您可能仍希望将它们包含在WordPress的Robots.txt内。...WordPress的robots.txt内容编写为： User-agent: * Allow: /wp-admin/admin-ajax.php Disallow: /wp-admin/ Disallow

2K2 0

使用Web日志还原攻击路径

wordpress/wp-admin/admin-ajax.php HTTP/1.1" 200 454 "http://www.example.com/wordpress/wp-admin/" 84.55.41.57.../wp-admin/admin-ajax.php?...84.55.41.57 - GET /wordpress/wp-admin/admin-ajax.php?...84.55.41.57 - POST /wordpress/wp-admin/admin-ajax.php 200 - http://www.example.com/wordpress/wp-admin...通过日志分析，我们发现了攻击者的攻击路径和安全事件的根本原因：管理员所使用的那款自定义WordPress插件中存在SQL注入漏洞，导致攻击者通过SQL注入漏洞获取管理员账号密码，从而登录管理后台进行网页篡改

2K1 1

漏洞分析：WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马

Fancybox For WordPress是一款很棒的WordPress图片插件，它可以让你的WordPress图片弹出一个漂亮的浏览界面，展示丰富的弹出层效果。...上周安全研究人员发现部分Wordpress博客遭遇了批量挂马，而这些博客的共同点就是都安装了这款Fancybox插件。研究人员经过分析，找到了这款插件中的漏洞。...漏洞分析这个漏洞存在于低于3.0.2版本的插件，而漏洞利用的是一个针对wp插件的一个比较常见的攻击途径：未经保护的admin_init钩子。...由于admin_init钩子可以被任何访问/wp-admin/admin-post.php或/wp-admin/admin-ajax.php页面的人调用，攻击者就可以将插件中的“mfbfw”选项更改成任何内容...而引起我们注意的是mfbfw_init()函数，这个函数会显示jQuery脚本，使用了我们之前在mfbfw_admin_options()函数中设定的参数。

1.8K10 0

WordPress插件SQL漏洞复现

该SQL漏洞存在于wordpress的插件Ultimate Produce Catalogue 4.2.2版本，在Exploit Database可以搜到这个漏洞的信息： https://www.exploit-db.com...WordPress _v4.6源码，安装Ultimate Produce Catalogue 4.2.2版本插件。 2. 本机电脑搭建phpstudy作为WEB环境。...02 源码部署首先wordpress的安装，这个之前在我们公众号文章《WordPress _v4.6远程代码执行漏洞复现》已经有详细的搭建过程，有不明白的小伙伴可以查看历史发送记录，或者到漏斗社区论坛也可以看到...下面介绍插件安装，Ultimate Produce Catalogue插件安装包的下载地址：链接：http://pan.baidu.com/s/1o8Rvdfs 密码：avul 下载之后，进入首页，...存在漏洞的地址如下： http://127.0.0.1/wordpress/wp-admin/admin-ajax.php?

2.1K5 0

WordPress RegistrationMagic V 5.0.1.5 SQL 注入

Ubuntu 20.04 # CVE：CVE-2021-24862 # CWE：CWE-89 # 文档：https://github.com/Hacker5preme/Exploits/blob/main/Wordpress.../CVE-2021-24862/README.md ''' 描述： 5.0.1.6 之前的 RegistrationMagic WordPress 插件不会在其 rm_chronos_ajax AJAX...SQL-Injection (Exploit): exploit_url = 'http://' + target_ip + ':' + target_port + wp_path + 'wp-admin/admin-ajax.php..., '; ') exploitcode_url = "sqlmap -u http://" + target_ip + ':' + target_port + wp_path + 'wp-admin/admin-ajax.php...' exploitcode_risk = ' --level 2 --risk 2 --data="action=rm_chronos_ajax&rm_chronos_ajax_action=duplicate_tasks_batch

4184 0

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

”，它会删除所有数据库表； 6.在未经许可的情况下，故意禁用pipdig认为不必要的其他插件； 7.将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中，这些插件可能包含重要信息。.../wp-admin/admin-ajax.php”。...当响应主体不为空时，即当它包含该URL时，以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求： $rcd = trim($response['body']);...’https://kotrynabassdesign.com/wp-admin/admin-ajax.php‘ 并附加一个随机数字符串。...，他们解释说我的admin-ajax.php文件受到了某种攻击[…]我可以确认我从来没有给过pipdig任何向我的服务器发出请求的权限。

1.6K2 0

从瑞士军刀到变形金刚--XSS攻击面拓展

而在默认下载的Wordpress中，都会包含Hello Dolly插件，通过修改这个插件内容并启动插件，我们可以执行想要的任何代码。...这种漏洞一般比较适合新闻类站点的xss漏洞，在wordpress上我没找到合理的利用方式，就不展示demo了，贴一张brutelogic在ppt中的demo截图。...这个链接地址为 wp-admin/admin-ajax.php?...curl的链接 wp-admin/admin-ajax.php?...; p2 = 'wp-admin/admin-ajax.php?'

8331 0

网站源代码安全审计之wordpress漏洞

User Post Gallery 是WordPress的一个第三方插件，该插件被许多网站运营者使用，由于代码存在远程命令执行漏洞，被许多黑客利用进行攻击网站，导致许多安装wordpress User...Post Gallery插件的网站都深受影响，可导致服务器被提权拿到root管理权限，CVE编号：CVE-2022-4060。...该漏洞被爆出后，直至到今天2023年2月1号，官网也未对该漏洞进行修复，wordpress官网已经对该插件停止了对外下载，我们SINE安全通过之前的User Post Gallery老版本源码，复现了此次漏洞...，并对该源代码进行了安全审计，发现确实存在远程代码执行漏洞，漏洞的具体细节我们来看下wp-upg.php代码里的upg_datatable变量,如下图：从变量中可以看到从前端传参到Field后，将以：来进行参数的分割.../admin-ajax.php?

1.7K3 0

WordPress Plugin Perfect Survey - 1.5.1 - SQLi

20.04 # CVE： CVE-2021-24762 # CWE: CWE-89 # 文档： https://github.com/Hacker5preme/Exploits/blob/main/Wordpress.../CVE-2021-24762/README.md ''' 描述： WordPress 完美调查1.5.2 之前的插件不验证和转义之前的 question_id GET 参数在 get_question...AJAX 操作中的 SQL 语句中使用它，允许未经身份验证的用户执行 SQL 注入。...SQL-Injection:') exploitcode_url = r'sqlmap "http://' + target_ip + ':' + target_port + wp_path + r'wp-admin/admin-ajax.php

9802 0

WordPress 安全复制内容保护和内容锁定 2.8.1 SQL 注入

# 软件链接：https://downloads.wordpress.org/plugin/secure-copy-content-protection.2.8.1.zip # 版本：< 2.8.2 #...Ubuntu 20.04 # CVE：CVE-2021-24931 # CWE：CWE-89 # 文档：https://github.com/Hacker5preme/Exploits/blob/main/Wordpress.../CVE-2021-24931/README.md ''' 描述： 2.8.2 之前的 Secure Copy Content Protection 和 Content Locking WordPress...插件无法逃脱 ays_sccp_results_export_file AJAX 操作的 sccp_id 参数（适用于未经身份验证的和经过身份验证的用户），然后在 SQL 语句中使用它，从而导致 SQL...SQL-Injection:') exploitcode_url = r'sqlmap "http://' + target_ip + ':' + target_port + wp_path + r'wp-admin/admin-ajax.php

1K4 0

WordPress主题插件严重漏洞修复，影响将近20万个网站

WordPress的ThemeGrill Demo Importer程序的开发人员已更新了该插件，删除一个严重漏洞，该漏洞为未经身份验证的用户提供了管理员特权。...该插件目前安装在近200000个WordPress网站上，而最流行的版本最容易受到攻击。该漏洞存在于ThemeGrill Demo Importer插件从1.3.4到1.6.1的版本中。...根据官方WordPress插件存储库的统计数据，最流行的版本是1.4到1.6，占当前安装的98％以上。擦除感染网站的数据库需要ThemeGrill主题处于有效状态。...研究人员解释说，“ admin_init”的Hook在管理环境中运行，并且还可调用不需要经过身份验证的用户的“ /wp-admin/admin-ajax.php”。缺乏身份验证就使漏洞利用成为可能。...如果数据库中存在“admin”用户，未经身份验证的攻击者可能会使用此帐户登录，并删除所有以已定义的数据库前缀开头的WordPress表。

7811 0

admin-ajax.php加载速度慢,原来这才是影响WordPress网站加载速度慢的罪魁祸首！

白天这个网站自上线以来，研究最多的就是WordPress加载慢的问题，前前后后做了很多优化，包括换服务器、更换源码、设置缓存、CDN、优化数据库等等，几乎尝试了自己能力范围内的所有方法，能用的都用了，...影响WordPress网站加载速度慢的原因这一篇文章作者速这样说的，他在半年前换过一次空间，由Windows主机换到了Linux服务器，按道理来说换了新的服务器配置都提升了，页面加载速度还是一如既往的慢...，一天在通过wp-config的配置文件查看数据库密码时，发现配置文件中数据库的链接还是半年前主机的数据库链接。...如下图：图2 WordPress网站wp-config数据库配置文件虽然有点小失落，但是！...未经允许不得转载：肥猫博客 » admin-ajax.php加载速度慢,原来这才是影响WordPress网站加载速度慢的罪魁祸首！

2.9K2 0

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南

在开源建站领域，WordPress凭借易用性和丰富的插件生态占据主导地位，但第三方插件的安全漏洞也成为网站被攻击的主要突破口。...且未使用WordPress提供的安全查询机制，具体成因可分为两点：（一）输入验证缺失，参数直接拼接SQL语句Fontsy插件在处理上述AJAX接口的参数（id、font_id）时，未对参数的合法性进行任何校验...禁用相关AJAX接口：若暂时无法卸载插件，可通过修改网站代码，禁用存在漏洞的三个AJAX接口（get_fonts、get_tag_fonts、delete_fonts）。...拦截恶意请求：借助网站防火墙（WAF），添加SQL注入特征拦截规则，拦截包含union、sleep、concat、drop等关键字的请求，以及针对wp-admin/admin-ajax.php的异常POST...（二）长期防护机制规范插件选用与更新：优先选用WordPress官方插件库（WordPress.org/plugins）中的插件，且选择下载量高、评分高、更新频繁的插件；定期检查插件更新，及时更新至最新版本

971 0

CVE-2021-24750 Wordpress 插件 WP 访问者统计 V 4.7 - SQL 注入

版本：<= 4.7 测试环境：Ubuntu 18.04 CVE：CVE-2021-24750 CWE：CWE-89 描述： 4.8 之前的 WP 访问者统计（实时流量）WordPress...插件无法正确清理和转义 refDetails AJAX 操作中的 refUrl，任何经过身份验证的用户都可以使用，这可能允许角色低至订阅者的用户执行 SQL 注入攻击。...requests from datetime import datetime # User-Input: my_parser = argparse.ArgumentParser(description='Wordpress...headers=header, data=body) # Exploit: exploit_url = 'http://' + target_ip + ':' + target_port + '/wordpress.../wp-admin/admin-ajax.php?

7275 0

WordPress 现代活动日历 6.1 SQL 注入

Ubuntu 20.04 # CVE：CVE-2021-24946 # CWE：CWE-89 # 文档：https://github.com/Hacker5preme/Exploits/blob/main/Wordpress.../CVE-2021-24946/README.md ''' 描述： 6.1.5 之前的 Modern Events Calendar Lite WordPress 插件不会清理和转义时间参数在 mec_load_single_page...AJAX 操作中的 SQL 语句中使用它之前，未经身份验证的用户可用，导致未经身份验证的 SQL 注入问题 ''' banner = ''' .oOOOo....datetime import datetime import os # User-Input: my_parser = argparse.ArgumentParser(description='Wordpress...SQL-Injection:') exploitcode_url = r'sqlmap "http://' + target_ip + ':' + target_port + wp_path + r'wp-admin/admin-ajax.php

6873 0

【Wordpress】ajax 实现站内搜索

写在前面：最近想给自己的博客实现一个站内搜索功能，期望整个过程异步实现。这样用户体验度更好。遇到问题：如何实现文章的模糊匹配？ wordpress 如何提供接口？...问题1 – 模糊搜索：大胆尝试： wordpress 原生自带有一个 wp_query 函数，它支持的参数非常完善灵活，实现整个网站与数据库的交互。...在官方手册中也有介绍到：wp_query，支持多种 sql 语句的比较符号： ? 看！他说可以支持 like 或者 regexp 这种比较符号。...问题2 – 接口对接：上面我们已经实现了文章的模糊匹配，接下来就要提供一个接口，来实现与前端的交互。所以，我们将会用到 wordpress 自带的 admin-ajax.php 文件。...实现原理：要使用 admin-ajax.php 请求必然首先就是遇到如何使用 wordrpess 的钩子 hook 来做过滤。

1.9K1 0

点击加载更多

WordPress 文章无法保存？试试这些实用修复技巧

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

渗透测试之黑白无常“续”

WordPress二次开发之调用ajax

如何编写和优化WordPress网站的Robots.txt

使用Web日志还原攻击路径

漏洞分析：WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马

WordPress插件SQL漏洞复现

WordPress RegistrationMagic V 5.0.1.5 SQL 注入

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

从瑞士军刀到变形金刚--XSS攻击面拓展

网站源代码安全审计之wordpress漏洞

WordPress Plugin Perfect Survey - 1.5.1 - SQLi

WordPress 安全复制内容保护和内容锁定 2.8.1 SQL 注入

WordPress主题插件严重漏洞修复，影响将近20万个网站

admin-ajax.php加载速度慢,原来这才是影响WordPress网站加载速度慢的罪魁祸首！

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南

CVE-2021-24750 Wordpress 插件 WP 访问者统计 V 4.7 - SQL 注入

WordPress 现代活动日历 6.1 SQL 注入

【Wordpress】ajax 实现站内搜索

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐