超過六百萬WordPress 網站根據 Bleeping Computer 報導,它們很容易受到攻擊。傳達開發人員的發現補丁堆疊拉菲·穆罕默德,媒體揭露內部存在安全漏洞LiteSpeed快取,一個WordPress外掛。這是為了優化網站的效能,特別是那些在 LiteSpeed 伺服器上運行的網站。
另請閱讀:名為「佛地魔」的惡意軟體攻擊法國
一個非常流行的 WordPress 外掛程式中的一個缺陷
該外掛被 WordPress 網站廣泛採用可以自動壓縮和優化圖片以減小其大小並縮短頁面載入時間。它還具有許多其他優化功能。該插件簡單、有效且易於配置“WordPress 生態系統中最受歡迎的快取工具”現在放數以百萬計的地點處於危險之中”,拉菲·穆罕默德解釋。
開發人員在插件的偵錯日誌記錄功能中發現了一個漏洞,有助於追蹤和分析 LiteSpeed 的行為,以及識別潛在問題。此選項記錄所有 HTTP 回應標頭。這些包含敏感資訊例如會話或身份驗證 cookie。
透過攔截這些數據,駭客能夠冒充管理員並控制網站。最終,該漏洞使攻擊者能夠毫不費力地接管他無權訪問的 WordPress 網站。他所要做的就是訪問調試日誌文件,該文件並不總是受到訪問限制的保護。在某些情況下,它儲存在伺服器上的可公開存取的目錄中。攻擊者只需在瀏覽器中輸入對應的URL即可存取。
已部署修復
幸運的是,LiteSpeed Cache 的開發者很快就糾正了這種情況。那裡版本 6.5.0.1 你插件在發現缺陷後不久部署,對調試日誌的管理帶來了變化。該文件現在儲存在專用且安全的位置。此外,保存 cookie 的選項已簡單地刪除。
我們顯然邀請所有相關管理員盡快安裝該插件的最新版本。不幸的是,毫不奇怪,很少有管理員願意不厭其煩地安裝該補丁。 WordPress 指出少於40萬人已經安裝了補丁。因此,數以百萬計的網站仍然容易受到攻擊。
這並不是 WordPress 外掛第一次遭遇漏洞,導致數千個網站面臨風險。幾個月前,數以千計的 WordPress 網站因以下原因遭到駭客攻擊:Popup Builder 中存在安全漏洞,一個插件,可讓您建立適合智慧型手機的可自訂彈出視窗。在部署更新之前,該漏洞已被多次利用。
來源 : 電腦發出蜂鳴聲
