網站沒流量，但卻經常被SQL注入光顧。

最近，網站真的很奇怪，網站后臺不光莫名多了很多“管理員”，所有的Wordpres插件還會被自動暫停，導致一些插件支持的頁面，如WooCommerce無法正常訪問、以及使用。

之前簡單地以為是網站管理員賬號被盜，所以改密碼了，并且加了登陸雙重驗證。沒想到，后面發現網站還是會繼續增加“管理員”，插件也會被繼續停用。

今天查看了寶塔面板的后臺防火墻，才知道用了網站用的某個插件生成的文件經常被SQL注入攻擊。

即使寶塔面板攔截了不少SQL注入，但是不知道為什么，仍然有一些SQL注入成功了，所以導致后臺出現不少“管理員”，以及數據庫插件被停用（數據庫這一行可能被刪了——active_plugins）。

查看攔截日志之后，發現注入詳情如下：

SQL傳入值為：

q＝INSERT INTO wp_usermeta(user_id,meta_key,meta_value)SELECT ID,‘wp_capabilities‘,‘a:1:{s:13:"administrator";b:1;}‘FROM wp_users WHERE user_login＝‘xtw18387bb83‘;

這是一個構造的SQL語句，嘗試通過HTTP請求參數q（可能代表query，即查詢）來執行。這個SQL語句的目的是給用戶名為xtw18387bb83的用戶添加一個具有管理員權限的元數據記錄。

在網上找了很多資料看到，終于知道為什么是這個CSV.php文件被注入了。——據介紹：CSV注入(CSV Injection）漏洞通常會出現在有導出文件(.csv/.xls)功能的網站中。當導出的文件內容可控時，攻擊者通常將惡意負載（公式）注入到輸入字段中，用戶導出文件打開后，EXCEL會調用本身的動態功能，執行攻擊者的惡意代碼，從而控制用戶計算機。

知道了原因，應該就好解決問題了。保持Nignx防火墻開啟自動過濾的同時，首先拉黑所有來自攻擊地的IP訪問（從起始IP到終止IP，如果客戶面向國內，其實可以直接禁止海外所有IP訪問）；其次，將被注入的訪問目錄/CSV/目錄加入訪問URL黑名單；最后，將被SQL注入的具體文件權限修改為644。當然，直接刪掉相關插件應該可能會更好吧。

最后，大神們輕點噴，僅小白自我探索的解決方案，應該可以解決吧？