WordPress插件爆出漏洞, 170万网站恐受影响
最近,安全研究公司Sucuri表示, 一个流行的Wordpress插件MailPoet被怀疑可能存在漏洞, 能够让黑客取得对站点的完全控制。MailPoet是一个Wordpress下流行的用于制作和管理推广邮件的插件,下载量超过170万个。
“如果你在你的站点中激活了这一插件, 那么很可能你的站点会被黑客完全控制。”Sucuri的CTO Daniel Cid在博客中写道:“黑客不需要站点的任何帐号, 就可以利用这个漏洞, 这是一个很严重的威胁, 意味着每个安装了这个插件的站点都可能受到威胁。”
这个漏洞使得黑客可以远程上传任意文件。 Daniel Cid没有透露更多的信息, 只是指出, 这个漏洞源自人们的一个错误认识, 那就是在Wordpress中, 只有具备管理员权限的用户访问Wordpress的管理界面时Wordpress才会启动管理进程admin_init。 事实上, 任何调用/wp-admin/admin-post.php也会绑定管理进程, 而且不需要用户认证。 这样一来使得黑客有可能上传文件到存在漏洞的服务器上。 目前安全的MailPoet版本是2.6.7. 用户需要立刻进行更新。
“人们必须认真对待这个漏洞, 因为他能够使得黑客能够对你的网站为所欲为。 它使得黑客可以上传任何PHP文件。 这样, 黑客还可以利用你的网站来进行钓鱼, 发送垃圾邮件, 或者放置恶意代码来感染其他用户。”
内容管理系统如Wordpress和Joomla的插件的安全性一直为人们所诟病。史上12大著名安全后门植入案例中有两例就是与内容管理系统插件有关。 前不久的攻击北美和欧洲工控系统的黑客集团“蜻蜓” 也是利用里内容管理系统的漏洞开始攻击的第一步的。 因此, 作为网站管理人员, 特别是采用了Wordpress的网站, 一定要密切注意安全更新。 及时进行安全升级。
“如果你在你的站点中激活了这一插件, 那么很可能你的站点会被黑客完全控制。”Sucuri的CTO Daniel Cid在博客中写道:“黑客不需要站点的任何帐号, 就可以利用这个漏洞, 这是一个很严重的威胁, 意味着每个安装了这个插件的站点都可能受到威胁。”
这个漏洞使得黑客可以远程上传任意文件。 Daniel Cid没有透露更多的信息, 只是指出, 这个漏洞源自人们的一个错误认识, 那就是在Wordpress中, 只有具备管理员权限的用户访问Wordpress的管理界面时Wordpress才会启动管理进程admin_init。 事实上, 任何调用/wp-admin/admin-post.php也会绑定管理进程, 而且不需要用户认证。 这样一来使得黑客有可能上传文件到存在漏洞的服务器上。 目前安全的MailPoet版本是2.6.7. 用户需要立刻进行更新。
“人们必须认真对待这个漏洞, 因为他能够使得黑客能够对你的网站为所欲为。 它使得黑客可以上传任何PHP文件。 这样, 黑客还可以利用你的网站来进行钓鱼, 发送垃圾邮件, 或者放置恶意代码来感染其他用户。”
内容管理系统如Wordpress和Joomla的插件的安全性一直为人们所诟病。史上12大著名安全后门植入案例中有两例就是与内容管理系统插件有关。 前不久的攻击北美和欧洲工控系统的黑客集团“蜻蜓” 也是利用里内容管理系统的漏洞开始攻击的第一步的。 因此, 作为网站管理人员, 特别是采用了Wordpress的网站, 一定要密切注意安全更新。 及时进行安全升级。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
邮箱投递
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平总书记上海之行纪实 7904184
- 2 恶婆婆专业户:坏人演多了面相会变凶 7809503
- 3 新娘身穿9.9米非遗婚服惊艳亮相 7712822
- 4 AI再现劳模风采 这才是该追的星 7616780
- 5 劝你别用机场火车站的免费充电线 7520602
- 6 梅婷晒照庆50岁生日 老公花臂抢镜 7425731
- 7 女子病假时看演唱会被辞退 法院判了 7329232
- 8 张一山谈首搭赵丽颖 7235547
- 9 51岁董卿近况曝光 素颜与粉丝合影 7136278
- 10 这些声音见证他们的不平凡 7041501
