作者:主机吧
发布时间:2026年7月5日
2026年7月5日消息,欧洲刑警组织(Europol)于6月末公布了”Operation Endgame”网络执法行动最新成果。警方成功打击了恶意木马 SocGholish 背后的犯罪团伙,查封106个域名/服务器,清理了14971个已被植入恶意代码的 WordPress 网站。
但这只是冰山一角。据联合参与此次行动的网络安全公司 Shadowserver 基金会披露,黑客从2023年5月17日至2026年5月25日,三年间累计入侵超过144万个WordPress网站。
一、数字触目惊心
先看几个关键数字:
| 统计项 | 数值 |
|---|---|
| 入侵总时长 | 3年(2023.5.17 – 2026.5.25) |
| 被入侵网站总数 | 1,440,000+ |
| 受影响国家和地区 | 187个 |
| 受影响域名 | 1,134,542 |
| 受影响IP地址 | 271,176 |
| 涉及自治系统(ASN) | 1,550 |
| 已清理网站 | 14,971 |
| 查封域名/服务器 | 106 |
187个国家和地区,意味着几乎全球每个国家都有网站中招。1,550个ASN,意味着从大型云服务商到小型IDC,没有哪个网络环境是绝对安全的。
二、黑客用了什么手法?
研究人员发现,黑客使用的攻击手段并不算”高级”,但胜在自动化程度极高、覆盖范围极广。
2.1 主要攻击手法
| 手法 | 说明 |
|---|---|
| 密码喷洒(Password Spraying) | 用常见弱密码批量尝试登录不同网站的后台 |
| 暴力撞库 | 利用已泄露的用户名密码组合批量测试 |
| 漏洞利用 | 针对 WordPress 插件、主题的已知漏洞批量扫描 |
| 域名影子(Domain Shadowing) | 入侵域名注册商后台,在合法域名下创建恶意子域名 |
2.2 域名影子技术详解
“域名影子”是这次攻击中最值得关注的技术。
攻击者会先入侵域名注册商或域名管理后台,然后在合法域名下悄悄创建多个恶意子域名并建立钓鱼网站。这些子域名对域名所有者来说是完全不可见的——攻击者在注册商后台操作,而不是在域名所有者的DNS管理面板里操作。
之后,这些恶意子域名被用于:
- 钓鱼邮件:伪装成官方通知,诱导受害者点击
- 搜索引擎竞价排名:购买关键词广告,推广恶意网站
- 恶意软件分发:在钓鱼页面中嵌入 SocGholish 木马下载链接
这种手法的高明之处在于:子域名在合法域名之下,安全公司很难通过域名信誉评分检测出来。 传统的黑名单机制对这种攻击基本无效。
2.3 SocGholish 木马做了什么?
SocGholish 是一种 JavaScript 木马,主要通过被黑的 WordPress 网站传播。它的典型运作流程:
1. 攻击者入侵 WordPress 网站
2. 在网站中植入恶意 JavaScript 代码
3. 访客访问网站时,JS 弹出虚假"浏览器更新"提示
4. 访客点击下载"更新",实为下载 SocGholish 木马
5. 木马安装后,攻击者可远程控制受害者电脑
三、为什么是 WordPress?
这不是 WordPress 第一次成为大规模攻击的目标,也不会是最后一次。
WordPress 占据了全球超过 40% 的网站市场份额,但大量站点存在以下问题:
| 问题 | 比例(估算) | 后果 |
|---|---|---|
| 使用过时版本 | 30%+ | 已知漏洞可被批量扫描利用 |
| 插件未及时更新 | 50%+ | 插件漏洞是 WordPres 被黑的首要原因 |
| 使用弱密码 | 40%+ | 密码喷洒/撞库一打就穿 |
| 无安全防护措施 | 60%+ | 被入侵后毫无感知 |
| 从不检查异常文件 | 70%+ | 恶意代码长期潜伏 |
黑客利用的就是这些”懒病”。他们不需要多高深的技术,只需要写一个自动化扫描脚本,就能在全球范围内批量扫出大量可入侵的网站。
四、主机吧的防护建议
4.1 立即检查你的 WordPress 网站
bash
# 1. 检查是否有未知管理员账号
wp user list
# 2. 检查近期文件修改记录
find /www/wwwroot/ -name "*.php" -mtime -7
# 3. 检查是否有可疑的 JS 外链
grep -r "src=" /www/wwwroot/ | grep -E "(eval|base64|document.write)"
# 4. 检查 .htaccess 是否有异常规则
cat /www/wwwroot/.htaccess
# 5. 检查 wp-config.php 是否有异常内容
cat /www/wwwroot/wp-config.php | grep -E "(eval|base64|gzinflate)"
以上命令可以快速发现大部分常见的后门和恶意代码。
4.2 日常加固措施
账号层面:
- 删除所有不用的管理员账号
- 使用 16 位以上随机密码(建议密码管理器生成)
- 开启 2FA 双因素认证
更新层面:
- WordPress 核心保持最新版本
- 所有插件和主题保持最新版本
- 删除不用的插件和主题(它们也是攻击面)
防护层面:
- 接入 WAF 隐藏源站 IP,防止攻击者直接扫描服务器
- 启用登录频率限制(如 5 分钟内最多尝试 3 次登录)
- 定期检查网站文件完整性
4.3 推荐方案:百度云防护 WAF
主机吧一直在推荐百度云防护 WAF,原因很简单——它能做的事情,比你自己折腾 Nginx 配置多得多:
| 防护能力 | Nginx 自配 | 宝塔防火墙 | 百度云防护 WAF |
|---|---|---|---|
| CC 攻击防护 | 手动配限流 | 基础限流 | 智能识别+JA3指纹 |
| 漏洞虚拟补丁 | 不支持 | 基础规则 | 每两周更新,自动生效 |
| 源站 IP 隐藏 | 不支持 | 不支持 | ✅ |
| Bot 爬虫识别 | 不支持 | 不支持 | ✅ |
| AI 爬虫拦截 | 不支持 | 不支持 | ✅ |
| 恶意 JS 注入检测 | 不支持 | 有限 | ✅ |
| 登录暴力破解防护 | 手动配 | 手动配 | ✅ |
144 万个 WordPress 网站被入侵,说明黑客的攻击是全自动化的。你的网站能不能扛住,不取决于你有多小心,而取决于你的防护措施有多自动化。手动配置总有漏掉的一天,自动化防护才能 7×24 小时在线。
百度云防护基础版 299 元/月,通过主机吧购买享 7.5 折(299 元/月),免费配置指导。
🔗 https://www.zhujib.com/shop/26864.html
五、总结
Operation Endgame 这次行动成效显著——查封了 106 个域名/服务器、清理了近 1.5 万个网站。但相比 144 万个被入侵的网站总量,清理的只是九牛一毛。
对于 WordPress 站长来说,这次事件是一个明确的提醒:
- 你的网站可能已经被入侵了,只是你没发现
- 弱密码和过期插件是最大的安全隐患
- 手动检查不够,需要自动化的防护手段
- 接入 WAF 隐藏源站 IP,是性价比最高的安全投入
别等到你的网站成为下一个 144 万分之一,才开始重视安全。
