WordPress爆最新缝隙,超40万网站受影响
本文摘要:2019年1月某安全研讨人员发现了三个严峻WordPress缝隙,三个WordPress插件遭到了广泛的重视。这些缝隙的数量令人警醒,因为这些插件现已被装置在超过40万个网站上。
建立一个网站多少钱

2019年1月某安全研讨人员发现了三个严峻WordPress缝隙,三个WordPress插件遭到了广泛的重视。这些缝隙的数量令人警醒,因为这些插件现已被装置在超过40万个网站上。

建立一个网站多少钱

聚光灯下的三个插件是InfiniteWP、WP Time Capsule和WP数据库重置插件。

建立一个网站多少钱

ZDNet是一个缝隙预警的技能观察网站:“假如你使用这些插件,你应该当即更新,因为防火墙l保护将不起作用。”

建立一个网站多少钱

HotHardware的布列塔尼格汀(Brittany goet)给出了一些更令人懊丧的数字。她写道,有超过5万个插件可供选择,但其实不是所有的都是一样的。

建立一个网站多少钱

在聚光灯下的三个缝隙之外,我们还可以从InfiniteWP客户机中的认证绕过缝隙开始。Naked Security将其描述为一个允许管理员从同一个界面管理多个WordPress站点的东西。

建立一个网站多少钱

管理站点的管理员使用InfiniteWP客户端。

建立一个网站多少钱

格汀说,至少有30万个网站可能遭到这一缝隙的影响。

建立一个网站多少钱

人们发现,这个插件缺乏某些授权查看。她写道:“假如你使用的是不超过1.9.4.4的InfiniteWP客户端版本,你就很容易遭到攻击,因此插件的用户应该尽快将他们的网站更新到1.9.4.5版本。”

建立一个网站多少钱

Wordfence博客(Wordfence是一家名为defiance的公司的产品)称这是一个要害的身份验证缝隙。《概念的证明》于2020年1月14日上午出版。假如你使用的是InfiniteWP客户端版本1.9.4.4或更早,我们建议你当即更新你的装置,以保护你的网站。”

建立一个网站多少钱

Dan Goodin在Ars Technica中也描述了InfiniteWP客户端插件中绕过认证缝隙的严峻性。

建立一个网站多少钱

它允许管理员在一台效劳器上管理多个网站。该缝隙允许任何人在完全没有凭据的状况下登录管理账户。从那里,攻击者可以删除内容,添加新帐户,并履行其他规模广泛的歹意使命。”

建立一个网站多少钱

安全公司WebARX陈述了InfiniteWP客户端和另外一个缝隙,WP Time Capsule。

建立一个网站多少钱

可湿性粉剂时间胶囊的设计,使备份网站数据更容易。

建立一个网站多少钱

Ars Technica陈述说,这个bug现已在1.21.16版本中得到了修复。运转前期版本的网站应该马上更新。网络安全公司WebARX有更多的细节。”

建立一个网站多少钱

ZDNet谈到了WP时间胶囊;ZDNet的Charlie Osborne说,依据WordPress插件库,WP Time Capsule至少在20,000个域上是活跃的。

建立一个网站多少钱

WP数据库重置插件遭到了广泛的重视,有近8万个站点使用了这个插件,它可以协助用户将数据库或数据库的某些部分重置为默许设置。

建立一个网站多少钱

Wordfence:“1月7日,我们的要挟情报小组发现了WP数据库重置中的缝隙,这是一个装置在8万个网站上的WordPress插件。其间一个缺点允许任何未经身份验证的用户重置任何表从数据库到最初的WordPress装置状态,而另外一缺点允许任何身份验证的用户,即便是那些以最小的权限,可以满足他们的账户管理权限而从表中删除所有其他用户一个简略的请求。”

建立一个网站多少钱

这个插件最初没有包括适当的安全查看。goet写道:“一个缝隙允许攻击者重置任何表,并导致数据可用性的丢失。”另外一个缝隙使任何订阅者都可以完全控制网站,并将所有管理员踢出网站。幸运的是,这两个缺点都在3.15版本中得到了修复。当然,安全研讨人员也鼓励用户常常备份他们的网站。”

建立一个网站多少钱

BleepingComputer的Sergiu Gartlan也留意到了这一发现。"在WordPress数据库重置插件中发现的要害过错…允许攻击者删除所有用户,主动晋级为管理员人物,并重置数据库中的任何表。”

建立一个网站多少钱

Wordfence博客给出了这个建议,认为这些是可能导致站点完全重置和/或接收的要害安全问题。“我们强烈建议当即更新到最新版本(3.15)。”

建立一个网站多少钱

关于这三个插件:InfiniteWP、WP Time Capsule和WP数据库重置,Ars技能得出了什么结论?他们很少说话,很容易说出来:“是时分修补了。”

建立一个网站多少钱

读者在Ars上的谈论试图找出问题的本源。“问题是,”一位读者说,“当站点管理员装置了10,000个插件,每一个插件都成为攻击的新载体。”

建立一个网站多少钱

用户曾经在哪里听到过这种说法?《核算机商业谈论》(Computer Business Review)早在6月份就声称:“WordPress插件被广泛认为是WordPress用户面对的最大安全挟制之一。”

建立一个网站多少钱

现在还没有证据标明这三种易受攻击的插件中有任何一种正在被广泛使用,Goodin说。