WordPress黑帽SEO插件的技术剖析

所以，即使机器人支持Javascript以及cookies，并且幸运的通过了第一层反机器人保护，在第二层也是会失败的，因为第二层保护是需要对邮箱进行验证的。这样即使是有人盗取了你的Wordpress密码，如果没有进行邮箱确认也是无法登录的。

用户对电子邮箱地址进行确认过后，会有一个额外的设置步骤，对‍‍WP_FLV_EMAIL_CONFIRMED‍‍ cookie设置为保存1000天，所以他们不需要每次登录都进行邮箱验证。

最后的“bootstrap” 部分，包含了将wp-core.php注入到index.php的代码（你可以在文章的开头看到）。它能够确保 “bruteforce protection” 一直都能够使用，如果wp-login.php中的代码被移除，它能够自己进行修复。

如果我们忘记通过非常规方式向Wordpress添加功能，这段代码确实能够起到强有力的保护机制。当然，这并非看上去那么完美，对于那些有针对性的攻击起到的作用并不大，特别是当攻击者了解这个保护机制以后。但是无法否认的是，这个保护机制确实会为站长解决一些不必要的麻烦，至少这个保护机制能够防止目前95%的自动化枚举攻击。

讲了半天，难道这个插件真真正正的是一款不可多得的优秀插件？我会告诉你wp-core.php中500多行的代码中有关“bootstrap”的代码不足100行？那么剩下的80%代码都是做什么的呢？

wp-core.php中的恶意代码‍‍

那么剩下的那80%代码都是没有保护作用的。

举个例子，它可以显示所有存储在Wordpress数据库中的电子邮箱，如果不需要授权就可以提取邮箱地址，之前的保护也就变得毫无意义了。

同时，还安装有一个开放的重定向器。现在黑客就可以向使用了“bruteforce protection” 的网站站长发送垃圾邮件了，钓鱼再或者对网站访客进行重定向到一个黑客指定的网站。

实例演示