超过六百万WordPress 网站据 Bleeping Computer 报道,它们很容易受到攻击。传达开发人员的发现补丁栈拉菲·穆罕默德(Rafie Muhammad),媒体揭露内部存在安全漏洞LiteSpeed缓存,一个WordPress插件。这是为了优化网站的性能,特别是那些在 LiteSpeed 服务器上运行的网站。
另请阅读:名为“伏地魔”的恶意软件袭击法国
一个非常流行的 WordPress 插件中的一个缺陷
该插件被 WordPress 网站广泛采用可以自动压缩和优化图像以减小其大小并缩短页面加载时间。它还具有许多其他优化功能。该插件简单、有效且易于配置“WordPress 生态系统中最受欢迎的缓存工具”现在放数以百万计的地点处于危险之中”,拉菲·穆罕默德解释道。
开发人员发现该插件的调试日志记录功能存在漏洞,该功能有助于跟踪和分析 LiteSpeed 的行为,并识别潜在问题。此选项记录所有 HTTP 响应标头。这些包含敏感信息例如会话或身份验证 cookie。
通过拦截这些数据,黑客能够冒充管理员并控制网站。最终,该漏洞使攻击者能够毫不费力地接管他无权访问的 WordPress 网站。他所要做的就是访问调试日志文件,该文件并不总是受到访问限制的保护。在某些情况下,它存储在服务器上的可公开访问的目录中。攻击者只需在浏览器中输入相应的URL即可访问。
已部署修复
幸运的是,LiteSpeed Cache 的开发者很快就纠正了这种情况。那里版本 6.5.0.1 你插件在发现缺陷后不久部署,对调试日志的管理带来了变化。该文档现在存储在专用且安全的位置。此外,保存 cookie 的选项已被简单地删除。
我们显然邀请所有相关管理员尽快安装该插件的最新版本。不幸的是,毫不奇怪,很少有管理员愿意不厌其烦地安装该补丁。 WordPress 指出少于40万人已经安装了补丁。因此,数以百万计的网站仍然容易受到攻击。
这并不是 WordPress 插件第一次遭遇漏洞,导致数千个网站面临风险。几个月前,数以千计的 WordPress 网站因以下原因遭到黑客攻击:Popup Builder 中存在安全漏洞,一个插件,可让您创建适合智能手机的可自定义弹出窗口。在部署更新之前,该漏洞已被多次利用。
来源 : 电脑发出蜂鸣声
