事件背景

近期，全球數百萬使用WordPress搭建的網站遭到大規(guī)模惡意注冊攻擊。攻擊者利用自動化腳本批量創(chuàng)建虛假用戶賬號，導致服務器資源被大量占用，部分網站甚至因數據庫過載而癱瘓。安全機構統計顯示，僅過去一周就有超過12萬個WordPress站點受到影響，其中未及時更新系統的老舊網站占比高達78%。

攻擊手段分析

1. 利用默認注冊接口 WordPress默認開放用戶注冊功能，攻擊者通過/wp-login.php?action=register接口發(fā)起自動化請求。

2. 暴力破解驗證機制 部分網站雖啟用驗證碼，但攻擊者使用OCR識別技術或第三方打碼平臺繞過限制。

3. 插件漏洞利用 流行插件如Ultimate Member、Profile Builder存在未修復的API漏洞，允許繞過郵箱驗證。

緊急應對方案

立即生效措施

• 關閉開放注冊 在「設置-常規(guī)」中取消勾選”任何人都可以注冊”選項
• 啟用雙重驗證 安裝插件如Wordfence或iThemes Security強制要求郵箱/手機驗證
• 清理垃圾用戶 使用Bulk Delete插件批量刪除角色為”訂閱者”的異常賬號

中長期防護策略

行業(yè)專家建議

阿里云安全團隊提出”3-2-1防御法則”：

1. 至少3種驗證方式組合（圖形驗證碼+郵箱確認+行為驗證）
2. 每日注冊量不超過正常值2倍時觸發(fā)人工審核
3. 每周1次安全掃描檢查用戶表異常

目前WordPress核心團隊已發(fā)布5.9.3緊急更新，建議所有用戶立即升級。對于無法立即更新的站點，可通過在functions.php中添加以下代碼臨時禁用注冊：

add_filter('option_users_can_register', function($value) {
return false;
});

網站管理員應持續(xù)關注/wp-admin/users.php頁面，發(fā)現單日新增用戶數異常增長（超過日常10倍）時需立即啟動安全審計。