站長之家(ChinaZ.com) 3月2日 消息:到目前為止,WordPress是網際網路上使用最廣泛的網站建站技術。根據最近的統計,超過35%的網際網路網站使用WordPress CMS(內容管理系統)。
由於WordPress有著大量的用戶,也就成為攻擊者的目標。據報導,今年 2 月份以來,針對WordPress網站的攻擊越來越頻繁。幾家專門從事WordPress安全產品的網絡安全公司,如Wordfence、WebARX和NinTechNet,已經報導了對WordPress站點的攻擊數量不斷增加。
2 月份,有報發現所有新攻擊都集中在利用WordPress插件中的漏洞,而不是WordPress本身的問題。許多攻擊的目標是最近修補的插件漏洞,黑客希望在網站管理員有機會安裝安全補丁之前劫持網站。
然而,也有一些攻擊也稍微複雜一點。一些攻擊者還發現並開始利用零日漏洞。以下是以下是二月份發生的針對新WordPress插件漏洞攻擊的總結。建議網站管理員趕緊更新下列出現的WordPress插件,避免相關網站接下來遭黑客攻擊利用。
Duplicator
根據Wordfence的一份報告,自 2 月中旬以來,黑客已經利用了Duplicator中的一個漏洞,這是一個允許站點管理員導出其站點內容的插件。
該漏洞允許攻擊者導出該站點的副本,並從中提取資料庫憑證,然後劫持WordPress站點的底層MySQL伺服器,之後在1.3. 28 修復。
更糟糕的是,Duplicator是WordPress門戶上最流行的插件之一,大約在 2 月 10 日攻擊開始時,其安裝量超過 100 多萬次。另外 17 萬個站點上安裝的該插件的商業版本Duplicator Pro也受到了影響。
Profile Builder
免費版和專業版的Profile Builder插件中還有另一個主要漏洞,允許黑客在WordPress網站上註冊未經授權的管理帳戶。
該漏洞於 2 月 10 日被修復,但攻擊開始於 2 月 24 日。根據報告,至少有兩個黑客組織正在利用這個漏洞。超過65, 000 個站點(50, 000 個使用免費版本,15, 000 個使用商業版本)容易受到攻擊,除非它們將插件更新到最新版本。
ThemeGrill Demo Importer
另外一個漏洞存在於ThemeGrill Demo Importer,該插件附帶了出售商業WordPress主題的web開發公司ThemeGrill出售的主題。
WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未經身份驗證的攻擊者的遠程攻擊。黑客可以將站點的內容重置為零,有效地清除了所有WordPress站點中ThemeGrill主題激活的內容,並且安裝了易受攻擊的插件。
此外,如果站點的資料庫包含一個名為「admin」的用戶,那麼攻擊者將被授予對該用戶的訪問權,該用戶擁有站點的完全管理員權限。超過 20 萬個站點安裝了這一插件,建議儘快更新至v1.6. 3 版本。
ThemeREX Addons
安全人員還發現了針對ThemeREX插件的攻擊,這是一個預裝了所有ThemeREX商業主題的WordPress插件。根據Wordfence的報告,攻擊始於 2 月 18 日,當時黑客發現了插件的零日漏洞,並開始利用它在易受攻擊的站點上創建流氓管理帳戶。
儘管攻擊仍在繼續,但始終沒有提供補丁,網站管理員被建議儘快從他們的網站刪除插件。
Flexible Checkout Fields for WooCommerce
攻擊還針對運行 Flexible Checkout Fields for WooCommerce插件的網站,該插件安裝在超過20, 000 個基於WordPress的電子商務網站上。
黑客利用一個(現已修補)零日漏洞注入XSS有效負載,可在登錄管理員的儀錶板中觸發。XSS的有效載荷允許黑客在易受攻擊的網站上創建管理帳戶。
自 2 月 26 日[1,2]以來,該類型攻擊一直在進行。
此外, Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite 三款插件也存在類似的零日漏洞,它們分別應用在了100,000、20, 000 和40, 000 個站點。