上周帮客户排查网站,发现后台日志里全是/wp-admin/?version=1的诡异请求——原来黑客在用工具扫描PHP版本漏洞! 这就像把家门钥匙插在锁上还贴纸条"我家防盗系统是2015款"啊喂!
近期真实案例:
- 某跨境电商站因PHP 7.2漏洞被注入恶意脚本♂
- 攻击者利用PHP 8.0.3已知缺陷窃取PayPal交易记录
我的血泪史:
去年用某宝买的模板,F12一看控制台直接暴露PHP/5.6.40...第二天就被塞了挖矿代码 服务器账单直接爆炸
3步急救方案:
1 找到.htaccess文件加入
Header unset X-Powered-By
2 修改php.ini里expose_php = Off
3 用插件如Hide My WP伪装成静态HTML(这招超阴险hhh)
注意:别手滑把<?php ?>也隐藏了!同事干过这蠢事导致整站白屏...(别问是谁)