WordPress插件爆出漏洞 170萬網站恐受影響
責編:admin |2014-07-22 11:11:21最近,安全研究公司Sucuri表示, 一個流行的Wordpress插件MailPoet被懷疑可能存在漏洞, 能夠讓黑客取得對站點的完全控制。MailPoet是一個Wordpress下流行的用于制作和管理推廣郵件的插件,下載量超過170個。
“如果你在你的站點中激活了這一插件, 那么很可能你的站點會被黑客完全控制。”Sucuri的CTO Daniel Cid在博客中寫道:“黑客不需要站點的任何帳號, 就可以利用這個漏洞, 這是一個很嚴重的威脅, 意味著每個安裝了這個插件的站點都可能受到威脅。”
這個漏洞使得黑客可以遠程上傳任意文件。 Daniel Cid沒有透露更多的信息, 只是指出, 這個漏洞源自人們的一個錯誤認識, 那就是在Wordpress中, 只有具備管理員權限的用戶訪問Wordpress的管理界面時Wordpress才會啟動管理進程admin_init。 事實上, 任何調用/wp-admin/admin-post.php也會綁定管理進程, 而且不需要用戶認證。 這樣一來使得黑客有可能上傳文件到存在漏洞的服務器上。 目前安全的MailPoet版本是2.6.7. 用戶需要立刻進行更新。
“人們必須認真對待這個漏洞, 因為他能夠使得黑客能夠對你的網站為所欲為。 它使得黑客可以上傳任何PHP文件。 這樣, 黑客還可以利用你的網站來進行釣魚, 發送垃圾郵件, 或者放置惡意代碼來感染其他用戶。”
內容管理系統如Wordpress和Joomla的插件的安全性一直為人們所詬病。史上12大著名安全后門植入案例中有兩例就是與內容管理系統插件有關。 前不久的攻擊北美和歐洲工控系統的黑客集團“蜻蜓” 也是利用里內容管理系統的漏洞開始攻擊的第一步的。 因此, 作為網站管理人員, 特別是采用了Wordpress的網站, 一定要密切注意安全更新。 及時進行安全升級。