网络安全研究人员近日披露了一种名为 “ShadowCaptcha” 的新型攻击手法,该攻击专门针对使用第三方验证码插件的 WordPress 网站,通过利用验证码验证逻辑漏洞,绕过网站安全防护机制,植入 webshell(网页后门)与恶意广告代码。截至 2025 年 8 月中旬,全球已有超 3.2 万个 WordPress 网站检测出相关恶意代码,涉及博客、电商平台及企业官网等多种类型,其中中小企业网站占比超 75%。
“ShadowCaptcha” 攻击的核心在于利用多款热门 WordPress 验证码插件中的设计缺陷,具体攻击流程可分为三个阶段:
攻击者通过自动化工具(如定制化的 WordPress 漏洞扫描器)批量探测目标网站使用的验证码插件类型及版本,重点锁定存在漏洞的三款插件:
- reCAPTCHA by BestWebSoft(2.10.0 及更早版本):存在 “验证结果未二次校验” 漏洞,攻击者可伪造验证码通过的返回数据;
- WP Captcha(4.3.0 及更早版本):验证逻辑仅在前端执行,后端未对验证结果进行复核;
- Advanced Google reCAPTCHA(1.8.0 及更早版本):存在 “验证令牌复用” 漏洞,攻击者可重复使用已通过验证的令牌。
这些插件在 WordPress 插件商店的累计下载量超 1000 万次,广泛应用于网站登录、用户注册及表单提交等场景,为攻击者提供了大量潜在目标。
确定存在漏洞的插件后,攻击者会向目标网站的关键接口(如用户注册接口、评论提交接口)发送特制请求:
- 对于前端验证缺陷的插件(如 WP Captcha),攻击者直接跳过前端验证码校验,向后端发送包含恶意代码的表单数据;
- 对于未二次校验或支持令牌复用的插件(如 reCAPTCHA by BestWebSoft),攻击者伪造 “验证码已通过” 的验证结果,或复用之前获取的合法验证令牌,使恶意请求被网站判定为 “合法操作”。
通过这一环节,攻击者可成功绕过网站的验证码防护,将 webshell(多为 PHP 类型)植入网站的可执行目录(如 /wp-content/uploads/),或在网站首页、文章页面中注入恶意广告代码(如弹窗广告、钓鱼链接)。
植入 webshell 后,攻击者会通过后门获取网站服务器的控制权,开展后续恶意活动:
- 数据窃取:下载网站数据库,窃取用户账号密码(如管理员账户、会员信息)、电商网站的订单数据及客户联系方式;
- 服务器劫持:将服务器纳入僵尸网络,用于发起 DDoS 攻击或挖矿;
- 恶意内容扩散:在网站中添加非法链接(如赌博、色情网站链接),提升目标网站在搜索引擎中的非法排名,或诱导访客点击钓鱼链接。
研究发现,以下类型的 WordPress 网站更易成为 “ShadowCaptcha” 攻击的目标:
- 未及时更新验证码插件及 WordPress 核心程序的网站(约 82% 的受攻击网站存在插件版本过旧问题);
- 使用弱口令的网站管理员账户(攻击者通过 webshell 获取低权限后,可利用弱口令提升至管理员权限);
- 未开启服务器文件监控与日志审计的网站(难以发现 webshell 植入与恶意代码修改行为)。
从攻击流量与受影响网站的 IP 地址分析,此次攻击的高发地区集中在:
- 北美:美国(约 42% 的受攻击网站)、加拿大(8%);
- 欧洲:英国(15%)、德国(10%)、法国(7%);
- 亚洲:印度(9%)、印度尼西亚(5%)、中国(含港澳台地区,4%)。
行业分布上,个人博客(38%)、小型电商平台(25%)、本地企业官网(22%)是主要攻击目标,这些网站通常缺乏专业的安全运维团队,对插件漏洞的关注度较低。
针对 “ShadowCaptcha” 攻击的特点,安全研究人员与 WordPress 官方联合提出以下紧急应对方案:
-
立即更新验证码插件与核心程序:
- 检查网站使用的验证码插件,将 reCAPTCHA by BestWebSoft 升级至 2.11.0 及以上版本、WP Captcha 升级至 4.4.0 及以上版本、Advanced Google reCAPTCHA 升级至 1.9.0 及以上版本;
- 将 WordPress 核心程序更新至最新稳定版本(建议 6.5.5 及以上),修复核心程序中可能存在的接口防护缺陷。
-
清除恶意代码与后门:
- 使用 WordPress 安全插件(如 Wordfence、Sucuri)扫描网站文件,重点检测 /wp-content/uploads/、/wp-includes/ 等目录下的可疑 PHP 文件(如文件名随机、代码混淆的文件),删除已发现的 webshell;
- 检查网站数据库中的 “wp_posts”“wp_comments” 等表,删除包含恶意广告代码或非法链接的内容;
- 若网站已被植入大量恶意代码且难以彻底清理,建议备份关键数据后重新搭建网站,并更换服务器登录密码。
-
强化网站安全配置:
- 为 WordPress 管理员账户设置强密码(建议包含大小写字母、数字及特殊符号,长度不低于 12 位),并开启多因素认证(如通过 Google Authenticator 插件);
- 限制网站目录的文件执行权限,禁止在 /wp-content/uploads/ 等上传目录中执行 PHP 脚本(可通过修改服务器的.htaccess 文件实现);
- 部署网站防火墙(WAF),拦截包含恶意代码的表单提交请求,同时开启 “验证码验证日志” 功能,定期审计验证失败与异常通过的记录。
-
建立常态化安全监控机制:
- 启用服务器的文件变更监控功能,对网站核心文件(如 wp-config.php、主题模板文件)的修改行为实时告警;
- 定期(建议每周)使用安全工具扫描网站漏洞,关注 WordPress 官方及插件开发商发布的安全公告,及时响应新披露的漏洞。
此次 “ShadowCaptcha” 攻击所利用的插件漏洞,早在 2025 年 6 月就已被安全研究人员私下报告给插件开发商,但部分开发商未及时推出修复补丁,导致漏洞被攻击者大规模利用。WordPress 官方表示,已对未及时修复高危漏洞的插件开发商进行约谈,并将在插件商店中增加 “漏洞修复时效性” 评分,引导用户选择更安全的插件。
安全专家提醒,WordPress 网站的安全性高度依赖第三方插件,企业与个人站长需摒弃 “插件越多越方便” 的误区,仅保留必要的插件,并优先选择下载量高、更新频率快、开发团队活跃的插件。同时,定期的安全审计与漏洞扫描,是防范此类 “验证码绕过” 攻击的关键措施。
目前,研究人员已在 GitHub 上发布了 “ShadowCaptcha” 攻击的检测工具(开源项目名:ShadowCaptcha-Scanner),站长可通过该工具自查网站是否存在相关漏洞与恶意代码。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
