据zdnet报道,wordPress/ target=_blank class=infotextkey>WordPress的两个插件 InfiniteWP Client和 WP Time Capsule被曝出现严重的安全漏洞,估计有 32 万个网站容易被利用攻击 。
文章插图
这两个插件被用于在一服务器上管理多个WordPress网站,并在发布更新时为文件和数据库条目创建备份 。WebArx的网络安全研究人员发现,代码中存在逻辑问题,允许他人无需密码即可登录管理员帐户 。
根据WordPress插件库数据,InfiniteWP活跃在超过300,000 个网站,而WP Time Capsule在至少活跃在20,000 个网站上 。
周二,研究小组表示,影响InfiniteWP 1.9.4. 5 以下版本的逻辑问题意味着,使用 JSON 和 Base64 编码的 POST 请求有效负载可以绕过密码请求,只需知道管理员的用户名即可登录 。
【WordPress两个插件存在严重漏洞 或致32万个网站受攻击】而在1.21. 16 以下的WP Time Capsule版本中,函数行中的问题可以通过在原始POST请求中添加一个精心设计的字符串来调用一个函数,该函数获可取所有可用的管理员帐户,并作为列表中的第一个管理员登录 。
1 月 7 日,WebArx 向这两款插件的开发者报告了这些漏洞,开发者迅速作出反应,并在一天后发布软件更新 。Webarx建议网站管理员尽快安装更新避免遭受攻击,因为防火墙保护将不起作用 。
推荐阅读
- 6个实用方法有效确保WordPress网站数据安全
- 五款冷门强大的Chrome插件,谷歌浏览器隐藏的杀手级插件
- 什么是WordPress插件
- 揭穿职场谎话精的两个方法,踹飞黑锅的正确姿势,无需再忍气吞声
- 免费的WordPress图片优化压缩插件reSmush 支持后台自动批处理
- 两个儿子的父亲 父亲喊女儿的老公
- Wordpress:3分钟快速搭建网站
- wordpress加速优化:WP Fastest Cache 插件如何设置使用
- 揭秘攻击者针对WordPress站点使用的攻击技术及防护建议
- 蚊香不需要拆开点是真的吗 蚊香不拆开两个会一起燃烧吗