一份新报告显示,针对 WordPress 网站的攻击数量有所增加,所有这些攻击都利用了流行插件中的安全漏洞。
上个月针对 WordPress 网站的许多攻击都涉及黑客试图通过针对最近修补的插件错误来劫持网站。
在其他情况下,攻击者能够发现不同插件中的零日漏洞。 那是指插件开发人员不知道的漏洞,这意味着可能没有可用的补丁。
以下是被确定为最近一系列攻击的一部分的所有插件的列表。
如果您在您的网站上使用这些插件中的任何一个,建议您立即更新它们并保持警惕全年更新它们。
复印机(超过 100 万次安装)
Duplicator 是一个插件,可让网站所有者导出其网站的内容。 版本 1.3.28 中修补了一个错误,该错误允许攻击者导出站点内容,包括数据库凭据。
ThemeGrill Demo Importer(200,000 次安装)
ThemeGrill 销售的主题附带此插件中的一个错误,允许攻击者擦除站点并接管管理员帐户。 此错误已在版本 1.6.3 中修复。
配置文件生成器插件(65,000 次安装)
此插件的免费和付费版本中的一个错误允许黑客注册未经授权的管理员帐户。 此错误已于 2 月 10 日修复。
WooCommerce 的灵活结帐字段(20,000 次安装)
此插件中的零日漏洞允许攻击者注入 XSS 有效负载,然后可以在已登录管理员的仪表板中触发。 攻击者使用 XSS 有效负载创建流氓管理员帐户。
攻击于 2 月 26 日开始。此后已发布补丁。
ThemeREX 插件
所有 ThemeREX 商业主题附带的该插件中的零日漏洞利用允许攻击者创建流氓管理员帐户。
攻击于 2 月 18 日开始。尚未针对此错误发布补丁,因此建议网站所有者尽快删除该插件。
异步 JavaScript(10 万次安装)
10用于 Google 地图的 Web 地图生成器(20k 安装)
现代活动日历精简版(40k 安装)
在这些插件中发现了三个类似的零日漏洞。 补丁适用于它们中的每一个。
资源: ZDNet