我们发现并需要修复的问题是 CVE-2026-1492，它涉及由 WPEverest 开发的 User Registration & Membership 插件，该漏洞的严重性评分高达 9.8，因为它允许在未通过身份验证的情况下创建管理员账户。更多信息可在 NIST 上查看 此处 以及在 Wordfence 上查看 此处。

在检查登录历史记录时发现，在事件发生期间，有人删除了一些日志，试图掩盖攻击细节，以避免其被察觉。

为确认网站账号 `admin` 是否真的遭到入侵、并使最终结论更加准确，我们还需要检查当前服务器账号的状态，因此请检查服务器的会话历史记录，确保其清晰且未受到影响。对于服务器本身，需要禁用基于密码的 SSH 登录，并删除无用账号，特别是在如上面 auth 日志所示，服务器曾遭遇彩虹表攻击或凭证尝试攻击的情况下。另外，对于已启用防火墙保护的端口，我们只保留了当前实际需要的那一个。

一些日志被恢复，显示有来自与客户预期行为不一致的地理位置的登录活动，表明账户已被入侵。许多 IP 地址显示此次泄露事件来源于土耳其。

除了最终成功利用 CVE-2026-1492 漏洞之外，还发生了大量针对密码的暴力破解攻击。网站的 admin 账号是被脚本或对外暴露的 API 攻破并修改的，而不是通过服务器内部的数据库操作或 Shell 命令所致。

虽然服务器账号本身看起来是安全的，但它的 SSH 会话曾遭到外部攻击，尤其是在启用密码登录时——除非有高超的黑客技术已经攻破了 root 账户并删除了所有会话记录，不过由于当前网站的代码并未被修改或删除，因此这种情况似乎并未真正发生。

在重新创建管理员账户时，我们发现管理员的邮箱地址被还原成了一个已弃用的邮箱。随后在重新创建过程中，又发现服务器的 SMTP 配置无效。为此我们添加了 SMTP 插件，并将其配置为 SEIRIM 推荐且常用的有效服务——SendGrid。

为防止密码修改（或管理员后台）API 直接暴露给非目标用户，而在当前情况下，仅需要向中国地区的客户端开放，因此我们对来自中国以外地区的 IP 进行了封锁。

由于其网站策略，已封锁所有来自中国以外地区的 IP。用于访问仪表盘管理页面和登录的本地及官方 IP 已获批准。基于已知的国家来源 IP，使用 Maxmind 重新配置了 Apache Web 服务器的策略，并设置了计划任务，每周自动检查和更新。

所有 WordPress 项目都有一个共同的潜在风险：phpMyAdmin 的接口在默认情况下暴露在公共网站上，这非常危险。一旦数据库凭据泄露，就可以通过该界面对数据库进行操作。因此，我们通过网站策略禁止访问该接口，并进行了其他配置优化。