WordPress再曝重大漏洞,眾多WordPress網(wǎng)站被黑

責(zé)任編輯:editor004

2017-02-10 11:51:15

摘自:華為未然實(shí)驗(yàn)室

WordPress是世界上最流行的內(nèi)容管理系統(tǒng)(CMS),有數(shù)百萬(wàn)網(wǎng)站在使用。近來(lái)發(fā)布的WordPress 4 7 0默認(rèn)添加并啟用了REST API。

WordPress是世界上最流行的內(nèi)容管理系統(tǒng)(CMS),有數(shù)百萬(wàn)網(wǎng)站在使用。近來(lái)發(fā)布的WordPress 4.7.0默認(rèn)添加并啟用了REST API。近日,來(lái)自Sucuri的研究人員發(fā)現(xiàn)WordPress存在重大零日漏洞,漏洞在于Wordpress REST API,該漏洞可導(dǎo)致產(chǎn)生新的漏洞,從而使攻擊者可針對(duì)未打補(bǔ)丁的網(wǎng)站刪除頁(yè)面或修改任何頁(yè)面,或?qū)⒃L問(wèn)者重定向到惡意利用或大量攻擊。

Sucuri跟蹤到了四個(gè)不同的篡改攻擊,第一個(gè)攻擊是在漏洞披露后不到48小時(shí)進(jìn)行的。在其中的一個(gè)攻擊中,攻擊者將6萬(wàn)個(gè)網(wǎng)頁(yè)的內(nèi)容替換為了“Hacked by”消息,另外三個(gè)攻擊瞄準(zhǔn)了大約500個(gè)網(wǎng)頁(yè)。

 

1.png

 

除網(wǎng)站篡改外,此類攻擊似乎主要是為黑帽SEO進(jìn)行的,目的是傳播垃圾郵件和在搜索引擎中獲得排名,這也稱為搜索引擎中毒。

Sucuri的安全研究員將此漏洞私下披露給了WordPress,為了確保數(shù)百萬(wàn)網(wǎng)站及其用戶的安全,WordPress推遲一周多才將該漏洞公之于眾,并立即采取行動(dòng)安裝補(bǔ)丁。WordPress發(fā)布新版本后默認(rèn)會(huì)自動(dòng)更新,但有些管理員禁用了此功能,未能及時(shí)安裝補(bǔ)丁,才讓攻擊者有機(jī)可乘。在此催促管理員盡快將WordPress升級(jí)到4.7.2版。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)