在一個非常流行的 WordPress 外掛中發現了一個安全漏洞。該漏洞使全球超過四百萬個網站面臨風險。它允許駭客存取管理員帳戶。儘管已經部署了補丁,但數百萬個網站仍然容易受到攻擊。
發現了一個安全漏洞真正簡單的安全性,一個注重安全的 WordPress 外掛。該插件特別允許您受益於雙重認證層和即時漏洞檢測。
據來自的研究人員稱詞柵欄,另一個專注於安全的 WordPress 插件,Really Simple Security 漏洞允許遠端攻擊者獲得管理員存取權限完全的。透過利用該漏洞,實際上可以“繞過任何使用者(包括管理員)的身份驗證和存取帳戶”。
在人們眼中詞柵欄,它是關於“這是我們作為 WordPress 安全提供者 12 年曆史上報告的最嚴重的漏洞之一”。為了利用該缺陷,攻擊者可以使用自動化腳本。我們的同事來自電腦發出蜂鳴聲因此害怕看到外表“大規模網站接管活動”。
數百萬個網站受到影響並修復
此漏洞影響軟體的免費版和專業版,迭代範圍為 9.0.0 至 9.1.1.1。該插件的免費版本由超過四百萬個網站。
毫不奇怪,Really Simple Security 背後的開發人員在發現以下問題後立即部署了補丁詞柵欄。在 WordPress 團隊的支持下,他們推動了版本 9.1.2 du 插件日前。為了保護自己,建議用戶盡快安裝最新版本的插件。到目前為止,已有超過 45 萬個網站花時間安裝了該補丁。超過三百萬受影響的網站仍然容易受到攻擊...
在所有管理員安裝修補程式之前,網路犯罪分子可能會利用該漏洞進行攻擊控制網站。一旦網站落入他們手中,他們就可以自由地用它做任何他們想做的事情。特別是,它們可能會顯示詐騙、網路釣魚頁面或強制安裝惡意軟體的連結。過去,海盜也曾用作受感染的 WordPress 網站來傳播惡意軟體能夠竊取加密貨幣。這是向所有濫用行為敞開的大門。
在此背景下,詞柵欄鼓勵“託管提供者強制更新其客戶端並對其託管檔案系統執行掃描,以確保沒有客戶端運行此外掛程式的未修補版本”。
這並不是今年第一次流行的 WordPress 外掛程式讓大量網站面臨風險。年初,Popup Builder 外掛程式中的漏洞導致數千個網站遭到駭客攻擊。在更新糾正這種情況之前,該缺陷已被多次利用。最近,LiteSpeed Cache 插件瀕臨滅絕超過六百萬個 WordPress 網站。
來源 : 詞柵欄
