Cloudflare已紧急部署云端WAF规则 拦截针对WordPress高危远程执行代码漏洞的攻击
网络服务提供商 Cloudflare 日前发布博客宣布增加紧急 WAF 规则用来拦截 wp2shell 漏洞攻击,该漏洞指的是知名内容管理系统 WordPress 核心代码中出现的远程代码执行漏洞,攻击者可以在无需身份验证的情况下获取网站和数据库管理权限,这可能会造成严重安全风险。
安全公司将漏洞通报给 WordPress 后,WordPress 团队已经发布多个紧急发布 6.9.x、6.8.x、7.0.x、7.1.x 分支版本用于修复漏洞,考虑到这次漏洞的危害性极高,WordPress 团队使用自动推送升级网站使用的 WP 核心版本。
但考虑到兼容性问题,WordPress 只会在分支版本内执行小版本升级,例如 6.8.x 不会被直接更新到 7.1.x 系列,使用 WordPress 的开发者、站长、博主请转到后台检查版本更新。

Cloudflare 也接到来自 WordPress 团队的安全通报,所以 Cloudflare 直接在防火墙规则里新增两项规则用来拦截 WordPress REST API 中未经身份验证的远程代码执行漏洞和 SQL 注入漏洞,这些规则将针对免费用户自动生效,付费用户请管理员自行在后台检查相关规则是否启用。
因此托管在 Cloudflare 的 WordPress 网站将可以通过免费 WAF 规则自动缓解攻击,但更稳妥的办法依然是升级到不受影响的新版本,这样可以彻底解决安全漏洞。
新增规则集 1:
规则说明:CVE-2026-63030 WordPress RCE 漏洞
托管规则集 ID:7dfb2bd4708d4b88b9911dc0550664b6
免费规则集 ID:ebd3f2df15c74ddcbf6220c9b5ec246a
默认动作:阻止 (即检测到相关利用直接拦截)
新增规则集 2:
规则说明:CVE-2026-60137 WordPress SQL 注入
托管规则集 ID:1c060d3a371549219ee290d7ed933fcc
免费规则集 ID:db003b39b7774859a8d588ce33697a1a
默认动作:阻止 (即检测到相关利用直接拦截)
via Cloudflare
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/





![脸红Dearie_红色的也挺好看[doge] ](https://imgs.knowsafe.com:8087/img/aideep/2024/11/17/ff3435ae62c6a08ed62d199490e9a935.jpg?w=250)


魏珍妮
关注网络尖刀微信公众号
