3月2日 消息:到目前為止，WordPress是互聯(lián)網(wǎng)上使用最廣泛的網(wǎng)站建站技術(shù)。根據(jù)最近的統(tǒng)計，超過35%的互聯(lián)網(wǎng)網(wǎng)站使用WordPress CMS(內(nèi)容管理系統(tǒng))。

由于WordPress有著大量的用戶，也就成為攻擊者的目標(biāo)。據(jù)報道，今年 2 月份以來，針對WordPress網(wǎng)站的攻擊越來越頻繁。幾家專門從事WordPress安全產(chǎn)品的網(wǎng)絡(luò)安全公司，如Wordfence、WebARX和NinTechNet，已經(jīng)報道了對WordPress站點的攻擊數(shù)量不斷增加。

2 月份，有報發(fā)現(xiàn)所有新攻擊都集中在利用WordPress插件中的漏洞，而不是WordPress本身的問題。許多攻擊的目標(biāo)是最近修補(bǔ)的插件漏洞，黑客希望在網(wǎng)站管理員有機(jī)會安裝安全補(bǔ)丁之前劫持網(wǎng)站。

然而，也有一些攻擊也稍微復(fù)雜一點。一些攻擊者還發(fā)現(xiàn)并開始利用零日漏洞。以下是以下是二月份發(fā)生的針對新WordPress插件漏洞攻擊的總結(jié)。建議網(wǎng)站管理員趕緊更新下列出現(xiàn)的WordPress插件，避免相關(guān)網(wǎng)站接下來遭黑客攻擊利用。

Duplicator

根據(jù)Wordfence的一份報告，自 2 月中旬以來，黑客已經(jīng)利用了Duplicator中的一個漏洞，這是一個允許站點管理員導(dǎo)出其站點內(nèi)容的插件。

該漏洞允許攻擊者導(dǎo)出該站點的副本，并從中提取數(shù)據(jù)庫憑證，然后劫持WordPress站點的底層MySQL服務(wù)器，之后在1.3. 28 修復(fù)。

更糟糕的是，Duplicator是WordPress門戶上最流行的插件之一，大約在 2 月 10 日攻擊開始時，其安裝量超過 100 多萬次。另外 17 萬個站點上安裝的該插件的商業(yè)版本Duplicator Pro也受到了影響。

Profile Builder

免費版和專業(yè)版的Profile Builder插件中還有另一個主要漏洞，允許黑客在WordPress網(wǎng)站上注冊未經(jīng)授權(quán)的管理帳戶。

該漏洞于 2 月 10 日被修復(fù)，但攻擊開始于 2 月 24 日。根據(jù)報告，至少有兩個黑客組織正在利用這個漏洞。超過65， 000 個站點(50， 000 個使用免費版本，15， 000 個使用商業(yè)版本)容易受到攻擊，除非它們將插件更新到最新版本。

ThemeGrill Demo Importer

另外一個漏洞存在于ThemeGrill Demo Importer，該插件附帶了出售商業(yè)WordPress主題的web開發(fā)公司ThemeGrill出售的主題。

WordPress安全公司W(wǎng)ebARX表示，老版本的ThemeGrill Demo Importer很容易受到未經(jīng)身份驗證的攻擊者的遠(yuǎn)程攻擊。黑客可以將站點的內(nèi)容重置為零，有效地清除了所有WordPress站點中ThemeGrill主題激活的內(nèi)容，并且安裝了易受攻擊的插件。

此外，如果站點的數(shù)據(jù)庫包含一個名為“admin”的用戶，那么攻擊者將被授予對該用戶的訪問權(quán)，該用戶擁有站點的完全管理員權(quán)限。超過 20 萬個站點安裝了這一插件，建議盡快更新至v1.6. 3 版本。

?ThemeREX Addons

安全人員還發(fā)現(xiàn)了針對ThemeREX插件的攻擊，這是一個預(yù)裝了所有ThemeREX商業(yè)主題的WordPress插件。根據(jù)Wordfence的報告，攻擊始于 2 月 18 日，當(dāng)時黑客發(fā)現(xiàn)了插件的零日漏洞，并開始利用它在易受攻擊的站點上創(chuàng)建流氓管理帳戶。

盡管攻擊仍在繼續(xù)，但始終沒有提供補(bǔ)丁，網(wǎng)站管理員被建議盡快從他們的網(wǎng)站刪除插件。

Flexible Checkout Fields for WooCommerce

攻擊還針對運行 Flexible Checkout Fields for WooCommerce插件的網(wǎng)站，該插件安裝在超過20， 000 個基于WordPress的電子商務(wù)網(wǎng)站上。

黑客利用一個(現(xiàn)已修補(bǔ))零日漏洞注入XSS有效負(fù)載，可在登錄管理員的儀表板中觸發(fā)。XSS的有效載荷允許黑客在易受攻擊的網(wǎng)站上創(chuàng)建管理賬戶。

自 2 月 26 日[1，2]以來，該類型攻擊一直在進(jìn)行。

此外， Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite 三款插件也存在類似的零日漏洞，它們分別應(yīng)用在了100，000、20， 000 和40， 000 個站點。（zdnet）