“Custom css-js-php” WordPress 插件中的遠端代碼執行 (≤ 2.0.7) — 網站擁有者現在必須做的事

摘要： 一個高嚴重性漏洞 (CVE-2026-6433) 影響 WordPress 插件 “Custom css-js-php” (版本 ≤ 2.0.7)，使得未經身份驗證的 SQL 注入可以鏈接到遠端代碼執行 (RCE)。因為該漏洞不需要身份驗證，並且可能導致整個網站的妥協，所有運行受影響插件的網站應將此視為緊急情況。以下指導從香港安全專家的角度撰寫，解釋了風險、鏈接如何在高層次上運作、立即的遏制步驟、檢測/響應指導和恢復行動。.

注意： 本文不發布利用證明概念 (PoC) 代碼。目標是幫助網站運營商保護網站、檢測妥協並快速恢復。.

為什麼這個漏洞如此危險

兩個因素使這個漏洞極高風險：

1. 未經身份驗證的訪問 — 漏洞代碼可以在未登錄 WordPress 的情況下訪問，消除了帳戶身份驗證或僅限管理員頁面等常見障礙。.
2. SQL 注入鏈接到 RCE — 初始缺陷是 SQL 注入 (A3: 注入)。當 SQL 注入可以修改存儲的數據，這些數據後來被評估或寫入為代碼時，攻擊者可以實現遠端代碼執行、持久後門或完全的管理權限接管。.

簡而言之：一個發現未修補的運行 Custom css-js-php ≤ 2.0.7 的網站的攻擊者，可能會執行任意代碼、創建管理用戶、安裝持久後門、竊取數據並在基礎設施中橫向移動。.

我們所知道的 (高層次技術概述)

• 受影響的軟件：WordPress 插件 “Custom css-js-php”
• 易受攻擊的版本：版本最高至 2.0.7
• 漏洞類別：導致遠端代碼執行 (RCE) 的 SQL 注入 (未經身份驗證)
• CVE：CVE-2026-6433
• 所需權限：無（未經身份驗證）
• 攻擊面：接受用戶提供輸入而未經適當清理或參數化的前端插件端點

典型鏈接 (無利用細節)：攻擊者找到一個插件端點或傳遞到 SQL 查詢中的參數，未使用預處理語句。通過注入改變存儲選項或內容的有效負載，他們可以使應用程序後來評估攻擊者控制的數據（例如通過 eval() 或包含攻擊者數據的文件寫入）。一旦被評估或包含，任意 PHP 可以執行並提供完整的網站妥協。攻擊者可能會將 SQLi 與 WordPress 行為（插件設置存儲可執行片段、選項字段解析為代碼）結合起來，創建持久的攻擊向量。.

實際影響場景

如果被利用，後果包括（不詳盡）：

• 完全接管 WordPress 網站的管理權限（創建管理帳戶、變更憑證）
• 在上傳、主題或插件目錄中安裝 PHP webshell 或後門
• 數據竊取 — 用戶數據、數據庫表或選項中的密鑰外洩
• 惡意軟件/SEO 垃圾郵件插入和重定向頁面
• 供應鏈濫用 — 利用被攻擊的網站針對其他系統（電子郵件、API 集成）
• 主機妥協 — 使用被盜憑證或特權提升在基礎主機環境中進行橫向移動

由於漏洞未經身份驗證並導致 RCE，大規模自動掃描和利用活動可能會迅速出現。將受影響的網站視為高優先級。.

立即行動 — 緊急檢查清單（在接下來的 0–6 小時內該做什麼）

1. 立即識別受影響的網站
   • 查詢您的庫存和插件列表中是否有“Custom css-js-php”，並確認插件版本 ≤ 2.0.7。.
   • 如果您管理客戶網站，請通知相關方並開始分流。.
2. 遏制
   • 如果有供應商修補程序可用：立即應用。.
   • 如果您的安裝版本沒有官方修復： 停用並移除插件 從每個受影響的網站中。移除該文件可防止漏洞代碼被執行。.
   • 如果移除必須等待（生產限制）：通過網絡服務器規則或防火牆阻止對插件端點的訪問，並暫時限制 wp-admin 只允許已知 IP。.
3. 虛擬修補 / 基於規則的阻止
   • 部署規則以阻止包含 SQL 元字符、可疑有效負載或典型 SQLi 模式的請求到插件端點。.
   • 阻止或限制未知或可疑的 POST 請求，並將對插件端點的未經身份驗證寫入視為高風險。.
4. 檢查是否有被攻擊的跡象
   • 查找新的管理用戶、修改的文件、上傳中新創建的 PHP 文件、不尋常的 wp_options 記錄和可疑的計劃任務。.
5. 旋轉憑證和秘密
   • 如果懷疑被攻擊，重置 WordPress 管理員密碼、API 密鑰、應用程序密碼和主機控制面板憑證。.
   • 撤銷任何可疑的 OAuth 令牌或 API 密鑰。.
6. 保留取證快照
   • 保留日誌（網頁伺服器、PHP、資料庫）、網站檔案系統的副本，以及用於分析的資料庫轉儲。.
   • 在調查時使用唯讀副本，以避免破壞文物。.
7. 如果確認受到攻擊，則從已知良好的備份中恢復
   • 如果存在後門或主動妥協，且無法完全驗證乾淨狀態，請從妥協前的備份中恢復。.
   • 恢復後，確保移除或修補插件，並在重新連接到生產環境之前驗證完整性。.

妥協指標（IoCs）及檢查內容

尋找以下跡象，表明攻擊者利用了該網站：

• 17. /wp-content/plugins/make-connector/ 中的新或修改的 PHP 文件（或插件文件夾名稱）
  • /wp-content/uploads/
  • /wp-content/plugins/
  • /wp-content/themes/
  • 在其他靜態目錄中出現意外的 .php 檔案
• 核心、主題或插件檔案的修改，時間戳與發佈時間不匹配。.
• Webshell 模式（在 webshell 中經常看到的字串）：
  • base64_decode( …
  • eval( gzinflate( …
  • assert( …
  • preg_replace( … /e ) 模式
  • 在不應該有的檔案中出現 system(、exec(、shell_exec( 調用
• 新的管理用戶或對現有管理帳戶的更改 — 在日誌中交叉檢查用戶創建事件，並審查角色/能力變更。.
• 添加不尋常的排程任務（wp_cron 工作）以保持持久性。.
• 可疑的資料庫條目：
  • wp_options 中包含 PHP 代碼或大型二進位資料的意外選項。.
  • 存儲惡意有效載荷或鏈接的新表。.
• 從網頁伺服器發出的對不熟悉的域名或 IP 的出站連接（檢查日誌或主機級防火牆/netstat）。.
• 在短時間內大量的 4xx/5xx 請求，特別是針對插件端點的請求。.
• 信譽和搜尋引擎黑名單：流量突然下降，Google Search Console 中的惡意軟體警告。.

如果發現有被攻擊的證據，請遵循完整的事件響應流程：隔離、消除、恢復。.

偵測策略和有用的快速檢查（非破壞性）

立即執行這些檢查。它們不會修改網站。.

• 列出已安裝的插件及其版本：

  wp 插件列表 --格式=表格

• 搜尋最近修改的 PHP 檔案（過去 7 天）：

  find /path/to/site -type f -name '*.php' -mtime -7 -ls

• 在上傳中搜索 PHP 文件：

  find /path/to/site/wp-content/uploads -type f -name '*.php' -ls

• 檢查資料庫中的可疑字串（唯讀）：

  SELECT option_name, LENGTH(option_value) AS len FROM wp_options ORDER BY len DESC LIMIT 50;

  匯出 wp_options 並檢查是否有包含 ‘eval’ 或 ‘base64’ 的序列化物件。.

• 檢查用戶列表中的新管理員：

  wp user list --role=administrator --format=table

• 在網頁伺服器訪問日誌中搜尋對插件 URI 或不尋常的 POST 請求：

  grep -i 'custom-css-js-php' /var/log/apache2/access.log

• 檢查外部網路連接（如果您有主機訪問權限）：

  netstat -plant

如果發現任何可疑情況，請保留證據（複製檔案、日誌、資料庫轉儲）並進行隔離。.

虛擬修補和規則建議

如果您無法立即移除或修補插件，則通過防火牆/網頁伺服器規則進行虛擬修補是最快的緩解方法。以下是針對簽名、速率限制和加固的工程級建議。在應用於生產環境之前，請在測試環境中進行測試以避免誤報。.

1. 阻止或嚴格過濾對插件端點的請求。
   • 拒絕來自公共互聯網的未經身份驗證請求到已知的插件管理端點（AJAX 端點或插件特定操作）。.
   • 示例邏輯：如果 URI 匹配 /wp-content/plugins/custom-css-js-php/* 或查詢參數 action 等於插件操作名稱，並且請求沒有有效的身份驗證 cookie/會話，則阻止或返回 403。.
2. SQL 注入模式
   • 阻止包含 SQL 元字符和參數中不應包含此類內容的模式的請求：
   • 單引號（‘）、SQL 註釋序列（–、/*、#）、UNION SELECT、OR 1=1
   • 實施標記包含 SQL 關鍵字和破壞性符號的參數的啟發式簽名（正則表達式）。.
3. 阻止可疑的有效載荷大小和編碼
   • 限制應該較短的字段的參數長度。.
   • 在不應該出現的參數中阻止 base64 或長的無意義字符串。.
4. 防止遠程代碼模式
   • 標記並阻止通過表單或端點提交的包含 PHP 評估模式（base64_decode、gzinflate、eval）的請求。.
5. 速率限制和請求聲譽
   • 對 POST 請求和訪問插件端點的嘗試應用每個 IP 的速率限制。.
   • 在適當的情況下使用聲譽列表或基於國家的阻止。.
6. 阻止已知的自動掃描和利用流量
   • 用 CAPTCHA 或 JS 挑戰來挑戰高概率的自動流量。.
7. 白名單管理訪問
   • 如果可行，通過防火牆或服務器配置限制 wp-admin 和插件管理端點僅限管理 IP。.
8. 虛擬補丁片段（概念）

   如果 URI 包含 /wp-content/plugins/custom-css-js-php/ 且方法 == POST 且（參數包含 SQL_KEYWORD_PATTERN 或 參數包含 base64_decode 或 參數長度 > 可接受）則阻止並記錄

重要：不要依賴單一簽名。攻擊者會混淆有效載荷；結合啟發式、速率限制和異常檢測。.

事件響應：遏制 → 根除 → 恢復（詳細操作手冊）

當您檢測到網站被利用（或可能被利用）時，請遵循結構化的方法：

1. 隔離

• 立即阻止易受攻擊的插件運行（停用/移除）。.
• 如果可能，將網站與公共互聯網隔離（維護模式 + IP 白名單）。.
• 在防火牆層級阻止惡意 IP 和端點。.
• 保留證據（文件、數據庫轉儲、日誌）。如果可用，快照存儲卷。.

2. 根除

• 識別並移除後門：
  • 在上傳或意外目錄中搜索 PHP 文件；移除任何不屬於已知插件/主題的文件。.
• 從可信來源清理或替換修改過的核心、插件和主題文件。.
• 移除新創建的管理用戶或可疑帳戶。.
• 更換憑證和密鑰（數據庫、主機、API、OAuth）。.
• 運行可信的惡意軟件掃描器和手動代碼審查以查找殘留的有效載荷。.

3. 恢復

• 如果清理無法提供完全信心，則從已知良好的備份中恢復。.
• 在返回生產環境之前加固配置：
  • 確保已移除或修補易受攻擊的插件。.
  • 在 wp-config.php 中禁用文件編輯：

    define('DISALLOW_FILE_EDIT', true);

  • 確認 WordPress 核心及所有剩餘插件/主題均為最新。.
• 重新檢查文件、數據庫和日誌，以確保沒有持久性存在。.

4. 事件後

• 在恢復後再次輪換所有憑證。.
• 進行根本原因分析並記錄時間線。.
• 如果個人數據被外洩，通知受影響的用戶並遵循當地的違規通知法律。.
• 實施持續監控和定期完整性檢查。.

強化檢查清單 — 減少未來漏洞的影響範圍

• 維護各網站插件和版本的準確清單。.
• 立即移除未使用的插件和主題。.
• 對管理帳戶強制執行最小權限，並使用強大且獨特的憑證或單一登入。.
• 應用深度防禦：WAF + 安全伺服器配置 + 應用程式強化。.
• 在可行的情況下，按 IP 限制管理員訪問。.
• 通過 .htaccess 或伺服器規則禁用 /wp-content/uploads 中的 PHP 執行：

  
    Deny from all
  

• 保持強健的備份和恢復計劃，並進行異地備份和定期恢復演練。.
• 監控日誌並對可疑變更（新管理用戶、文件變更）設置警報。.
• 使用安全標頭（CSP、X-Frame-Options、HSTS）來強化應用程式。.
• 定期使用自動化工具掃描網站並進行定期手動安全審計。.

示例檢測和響應場景（逐步說明）

場景 A — 上傳中的可疑 PHP

1. 拍攝伺服器快照並保留日誌。.
2. 將惡意文件移至離線進行分析（不要執行）。.
3. 搜尋 Webshell 指標（如 base64_decode、eval 的字串）。.
4. 使用多個惡意軟體掃描器和手動檢查來識別惡意文件。.
5. 移除惡意文件，並從經過驗證的乾淨來源（WordPress 核心、主題/插件包）替換任何已修改的網站文件。.
6. 旋轉憑證並檢查數據庫中的相關持久性。.

情境 B — 對插件端點的異常 POST 請求

1. 阻止來源 IP 並部署規則以用 CAPTCHA 或 JS 驗證挑戰類似請求。.
2. 審查請求日誌以識別有效負載和時間窗口。.
3. 如果有效負載顯示 SQLi，則在數據庫中搜索意外寫入、新表或更改的選項。.
4. 立即停用並移除易受攻擊的插件。.
5. 如果存在利用跡象，則執行更深入的審核並遵循根除步驟。.

通信和法律考量

• 通知客戶和利益相關者：告知受影響方有關漏洞、遏制措施和時間表。.
• 如果敏感用戶數據被暴露，請遵循當地通知法律和違規報告要求。.
• 保持清晰的事件日誌以便合規和審計。.

常見問題

問：我可以保留插件安裝但禁用對其的公共訪問嗎？

答：作為緊急措施，您可以通過服務器規則或防火牆阻止對插件端點的公共訪問，並將管理員限制為可信 IP。然而，最安全的立即行動是在可用的經過驗證的修補程序發布後移除或更新插件。.

問：為什麼不僅依賴自動更新？

答：自動更新是有用的，但許多環境出於兼容性或測試原因禁用它們。除了更新過程外，還要維護清單、監控和分層防禦。.

問：是否有特定於此插件漏洞的指標？

答：尋找對插件特定端點的 HTTP 請求、異常的 POST 有效負載，以及與插件選項相關的新創建或修改的數據庫行。由於利用可能被混淆，還要搜索像新管理員帳戶和類似 webshell 的文件內容等通用指標。.

最終優先檢查清單

1. 立即識別所有運行受影響插件（≤ 2.0.7）的网站。.
2. 如果無法確認修復問題的供應商修補程序，則停用並移除插件。.
3. 部署基於規則的阻止（虛擬修補）以阻止插件端點和類似 SQLi 的模式。.
4. 掃描是否被妥協：文件、數據庫異常、管理用戶、計劃任務。.
5. 如果懷疑或確認有洩漏，請更換憑證。.
6. 如果無法可靠地移除持久性，請從乾淨的備份中恢復。.
7. 加固網站：禁用文件編輯、限制管理員訪問、使用安全標頭、維護清單並保持插件更新。.
8. 實施持續監控和定期完整性檢查，以快速檢測未來事件。.

如果您需要協助處理事件或快速部署虛擬修補，請尋求經驗豐富的事件響應提供者或內部安全團隊的幫助。在任何破壞性修復步驟之前，優先考慮遏制和取證保存。.

保持安全，保持警惕——將未經身份驗證的 RCE 鏈視為最高優先級，並迅速行動以遏制和修復。.