流行的 WordPress 安全插件 WPS Hide Login 被发现存在漏洞。 该漏洞一经发现就立即修复。
WordPress 漏洞数据库 像这样描述更新:
“修复了 1.5.4.2 及更低版本中的一个漏洞,该漏洞可能允许攻击者找到并访问秘密登录页面。”
什么是 WPS 隐藏登录漏洞?
WPS Hide Login 是一个 WordPress 插件,可以创建一个秘密的管理员登录页面。 这可以防止黑客通过密码猜测攻击来攻击管理员登录页面,因为登录页面是隐藏的。
该漏洞允许黑客使插件显示隐藏页面的 URL。 然后黑客可以开始攻击。
受影响的版本 1.5.4.2 和更早版本
此漏洞影响插件版本 1.5.4.2。 敦促该插件的所有用户立即将其插件更新到 1.5.5 版。
漏洞是如何被发现的
Web 应用程序防火墙发布者 NinTechNet 于 2020 年 1 月 20 日发现了该漏洞。他们将该问题传达给了 WPS Hide Login 的开发人员,后者在同一天立即关闭了该漏洞。
NinTechNet.com 发表了一篇关于这一发现的报道 插件更新后。
WPS 隐藏登录更改日志
每个 WordPress 插件都通过称为变更日志的正式日志来传达其更新的内容。 网络发布者可以从 WordPress 插件仪表板检查更改日志,并确定更新是否重要。
某些更新可能会破坏站点,因此某些管理员可能会选择不更新,除非它是关键的。
理想情况下,软件制造商至少应该传达更新的重要性和更新的重要性,最多只是站出来说它正在修补漏洞。
此更新很重要,因为该漏洞损害了 WPS Hide Login 执行它应该做的一件事的能力:隐藏管理员登录页面。
认为应该在变更日志中进行沟通是不合理的吗?
这里是截图 WPS 的更改日志隐藏登录:
正如您在屏幕截图中看到的那样,没有提及更新地址,也没有暗示更新的重要性。
WPS 以负责任的方式隐藏登录
WPS Hide Login 负责任地迅速修补了他们的插件。 但是,如果他们在涉及安全漏洞时采取额外步骤来传达任何给定更新的重要性,那将很有用。
