网络安全研究人员近日披露了一种名为 “ShadowCaptcha” 的新型攻击手法，该攻击专门针对使用第三方验证码插件的 WordPress 网站，通过利用验证码验证逻辑漏洞，绕过网站安全防护机制，植入 webshell（网页后门）与恶意广告代码。截至 2025 年 8 月中旬，全球已有超 3.2 万个 WordPress 网站检测出相关恶意代码，涉及博客、电商平台及企业官网等多种类型，其中中小企业网站占比超 75%。

攻击原理：瞄准验证码插件的 “验证绕过” 缺陷

“ShadowCaptcha” 攻击的核心在于利用多款热门 WordPress 验证码插件中的设计缺陷，具体攻击流程可分为三个阶段：

1. 漏洞探测：扫描目标网站的验证码插件版本

攻击者通过自动化工具（如定制化的 WordPress 漏洞扫描器）批量探测目标网站使用的验证码插件类型及版本，重点锁定存在漏洞的三款插件：

• reCAPTCHA by BestWebSoft（2.10.0 及更早版本）：存在 “验证结果未二次校验” 漏洞，攻击者可伪造验证码通过的返回数据；
• WP Captcha（4.3.0 及更早版本）：验证逻辑仅在前端执行，后端未对验证结果进行复核；
• Advanced Google reCAPTCHA（1.8.0 及更早版本）：存在 “验证令牌复用” 漏洞，攻击者可重复使用已通过验证的令牌。

这些插件在 WordPress 插件商店的累计下载量超 1000 万次，广泛应用于网站登录、用户注册及表单提交等场景，为攻击者提供了大量潜在目标。

2. 验证绕过：伪造合法请求注入恶意代码

确定存在漏洞的插件后，攻击者会向目标网站的关键接口（如用户注册接口、评论提交接口）发送特制请求：

• 对于前端验证缺陷的插件（如 WP Captcha），攻击者直接跳过前端验证码校验，向后端发送包含恶意代码的表单数据；
• 对于未二次校验或支持令牌复用的插件（如 reCAPTCHA by BestWebSoft），攻击者伪造 “验证码已通过” 的验证结果，或复用之前获取的合法验证令牌，使恶意请求被网站判定为 “合法操作”。

通过这一环节，攻击者可成功绕过网站的验证码防护，将 webshell（多为 PHP 类型）植入网站的可执行目录（如 /wp-content/uploads/），或在网站首页、文章页面中注入恶意广告代码（如弹窗广告、钓鱼链接）。

3. 权限维持与恶意活动展开

植入 webshell 后，攻击者会通过后门获取网站服务器的控制权，开展后续恶意活动：

• 数据窃取：下载网站数据库，窃取用户账号密码（如管理员账户、会员信息）、电商网站的订单数据及客户联系方式；
• 服务器劫持：将服务器纳入僵尸网络，用于发起 DDoS 攻击或挖矿；
• 恶意内容扩散：在网站中添加非法链接（如赌博、色情网站链接），提升目标网站在搜索引擎中的非法排名，或诱导访客点击钓鱼链接。

受影响网站特征与攻击分布

1. 高风险网站特征

研究发现，以下类型的 WordPress 网站更易成为 “ShadowCaptcha” 攻击的目标：

• 未及时更新验证码插件及 WordPress 核心程序的网站（约 82% 的受攻击网站存在插件版本过旧问题）；
• 使用弱口令的网站管理员账户（攻击者通过 webshell 获取低权限后，可利用弱口令提升至管理员权限）；
• 未开启服务器文件监控与日志审计的网站（难以发现 webshell 植入与恶意代码修改行为）。

2. 攻击地域与行业分布

从攻击流量与受影响网站的 IP 地址分析，此次攻击的高发地区集中在：

• 北美：美国（约 42% 的受攻击网站）、加拿大（8%）；
• 欧洲：英国（15%）、德国（10%）、法国（7%）；
• 亚洲：印度（9%）、印度尼西亚（5%）、中国（含港澳台地区，4%）。

行业分布上，个人博客（38%）、小型电商平台（25%）、本地企业官网（22%）是主要攻击目标，这些网站通常缺乏专业的安全运维团队，对插件漏洞的关注度较低。

修复建议与防御措施

针对 “ShadowCaptcha” 攻击的特点，安全研究人员与 WordPress 官方联合提出以下紧急应对方案：

1. 立即更新验证码插件与核心程序：
   • 检查网站使用的验证码插件，将 reCAPTCHA by BestWebSoft 升级至 2.11.0 及以上版本、WP Captcha 升级至 4.4.0 及以上版本、Advanced Google reCAPTCHA 升级至 1.9.0 及以上版本；
   • 将 WordPress 核心程序更新至最新稳定版本（建议 6.5.5 及以上），修复核心程序中可能存在的接口防护缺陷。
2. 清除恶意代码与后门：
   • 使用 WordPress 安全插件（如 Wordfence、Sucuri）扫描网站文件，重点检测 /wp-content/uploads/、/wp-includes/ 等目录下的可疑 PHP 文件（如文件名随机、代码混淆的文件），删除已发现的 webshell；
   • 检查网站数据库中的 “wp_posts”“wp_comments” 等表，删除包含恶意广告代码或非法链接的内容；
   • 若网站已被植入大量恶意代码且难以彻底清理，建议备份关键数据后重新搭建网站，并更换服务器登录密码。
3. 强化网站安全配置：
   • 为 WordPress 管理员账户设置强密码（建议包含大小写字母、数字及特殊符号，长度不低于 12 位），并开启多因素认证（如通过 Google Authenticator 插件）；
   • 限制网站目录的文件执行权限，禁止在 /wp-content/uploads/ 等上传目录中执行 PHP 脚本（可通过修改服务器的.htaccess 文件实现）；
   • 部署网站防火墙（WAF），拦截包含恶意代码的表单提交请求，同时开启 “验证码验证日志” 功能，定期审计验证失败与异常通过的记录。
4. 建立常态化安全监控机制：
   • 启用服务器的文件变更监控功能，对网站核心文件（如 wp-config.php、主题模板文件）的修改行为实时告警；
   • 定期（建议每周）使用安全工具扫描网站漏洞，关注 WordPress 官方及插件开发商发布的安全公告，及时响应新披露的漏洞。

行业警示与漏洞披露背景

此次 “ShadowCaptcha” 攻击所利用的插件漏洞，早在 2025 年 6 月就已被安全研究人员私下报告给插件开发商，但部分开发商未及时推出修复补丁，导致漏洞被攻击者大规模利用。WordPress 官方表示，已对未及时修复高危漏洞的插件开发商进行约谈，并将在插件商店中增加 “漏洞修复时效性” 评分，引导用户选择更安全的插件。 安全专家提醒，WordPress 网站的安全性高度依赖第三方插件，企业与个人站长需摒弃 “插件越多越方便” 的误区，仅保留必要的插件，并优先选择下载量高、更新频率快、开发团队活跃的插件。同时，定期的安全审计与漏洞扫描，是防范此类 “验证码绕过” 攻击的关键措施。 目前，研究人员已在 GitHub 上发布了 “ShadowCaptcha” 攻击的检测工具（开源项目名：ShadowCaptcha-Scanner），站长可通过该工具自查网站是否存在相关漏洞与恶意代码。