WordPress 插件漏洞被利用,近 20 万站点还没打补丁[通俗易懂]

WordPress 插件漏洞被利用,近 20 万站点还没打补丁[通俗易懂]WordPress 插件漏洞被利用,近 20 万站点还没打补丁

大家好,又见面了,我是你们的朋友全栈君。

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞,以入侵托管站点,影响站点数量众多。

e9a0c12b0cc75993166a0053e824cefbfab.jpg

前几天我们才报导过流量排名前一千万网站,三分之一使用 WordPress,这么广泛的采用,一旦其中有安全漏洞被利用,影响会相当广。 

被利用的两个插件,其中之一是 Easy WP SMTP,最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击,数据显示有 300 000 次下载安装;另一个插件是 Social Warfare,已经被安装了 70 000 次,它的利用是由另一家安全公司 Defiant 披露的。 

两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导,有两个竞争组织正在实施攻击,其中一个在创建管理员帐户后暂时停止操作,而另一个组织则会进行后续步骤,其会使用虚假帐户更改站点,将访问者重定向到恶意站点。

有趣的是,这两个攻击组织使用了相同的代码用于创建管理员账户,而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。

据 arstechnica 的报导,虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁,但是下载数据表明许多易受攻击的网站尚未安装更新,Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次,而 Social Warfare 补丁自周五发布以来,也仅被下载了少于 20 000 次。

安全事大,如果你的网站托管在 WorPress 上,并且使用了这两个插件中的任一一个,那么需要确保已将其更新为:Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/106912.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • java wsdl asmx 替换_WebService asmx生成的wsdl 修改 location

    java wsdl asmx 替换_WebService asmx生成的wsdl 修改 locationC#中使用webservice接口的时候,返给服务器的IP地址是带上了端口号的。但是有时候不能要那个端口(比如用nginx做了转发),就需要在服务端处理一下(处理内容就是后面的代码)。此外,需要在配置文件中web.config中的system.web中添加一些东西:2.如果没有protocols中的内容的话,有可能post和get请求不能被正确识别(未做过验证,只是在博客园上看见过类似问题)。代码…

  • 蓝桥杯集锦04(python3)

    蓝桥杯集锦04(python3)

  • 打开VS2010提示:产品密钥框

    打开VS2010提示:产品密钥框                                          &n

  • idea 激活码【中文破解版】

    (idea 激活码)2021最新分享一个能用的的激活码出来,希望能帮到需要激活的朋友。目前这个是能用的,但是用的人多了之后也会失效,会不定时更新的,大家持续关注此网站~IntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,下面是详细链接哦~https://javaforall.cn/100143.html…

  • Linux抓包命令tcpdump「建议收藏」

    Linux抓包命令tcpdump「建议收藏」tcpdump是一个抓包工具,用于抓取互联网上传输的数据包tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具tcpdump支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息#常用选项-i#监听哪一个网卡-n #不把ip解析成主机名-nn #不把端口解析成应用层协议-c #指定抓包的数量-S #不把随机序

  • idea mac激活码_在线激活

    (idea mac激活码)JetBrains旗下有多款编译器工具(如:IntelliJ、WebStorm、PyCharm等)在各编程领域几乎都占据了垄断地位。建立在开源IntelliJ平台之上,过去15年以来,JetBrains一直在不断发展和完善这个平台。这个平台可以针对您的开发工作流进行微调并且能够提供…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号