两个流行的WordPress插件中的缺陷使数百万网站面临风险您还可以将WordPress用作内容管理系统(CMS)。WordPress因其易用性而广受开发人员喜爱。WordPress世界中有各种主题和插件,开发人员可以利用它们轻松构建网站。相信很多人一开始就被WordPress吸引住了,大概是因为它强大的插件系统吧。虽然WordPress本身有很多功能上的不足,但是它可以通过插件来弥补这些不足。但是,插件也可能存在漏洞并带来安全风险。近日,据外媒报道,两个流行的WordPress插件漏洞ElementorPro和UltimateAddonsforElementor正使数百万网站面临风险。其中,ElementorPro插件是一个网站构建器,允许用户使用拖放构建器添加模块和自定义他们的网站。它非常受用户欢迎,目前拥有超过一百万的活跃用户。相关研究发现,ElementorPro插件存在漏洞,容易受到黑客攻击。攻击者可利用该漏洞远程上传任意文件执行未授权代码,危害严重。例如,可以通过这种方式安装后门和Webshell,这两种方式都允许攻击者为自己创建重复的远程访问路径,以访问站点的关键部分(例如文件系统),执行站点数据删除操作。值得注意的是,攻击者必须是相关WordPress站点的注册用户,此攻击才能起作用。但是,如果由于某种原因您无法满足此先决条件,还有另一个称为Elementor的UltimateAddons的插件,UltimateAddons是一个独特的Elementor小部件库,可以为页面构建器增加更多的功能和灵活性。据悉,插件版本1.24.1及以下版本存在漏洞,允许有人在没有任何管理员批准的用户注册的情况下攻击主要的ElementorPro插件。也就是说,WordPress具有不同的用户角色,其中之一包括订阅者。在这种情况下,要注册为订户,不需要站点管理员的批准,允许攻击者自己这样做,从而利用存在的漏洞。与所有内容一样,请放心,这些内容也有可用的修复程序。根据WP行业安全插件WordFence发布的指南,ElementorPro已于5月7日打上补丁,更新至最新版本的ElementorPro将有助于保护您的网站。Wordfence发送了一条解决该问题的推文:更新:@elemntor已发布专业版2.9.4,我们的威胁情报团队已验证它修复了经过身份验证的文件上传漏洞。请确保将ElementorPro插件更新到2.9.4。感谢Elementor的快速修复。https://t.co/Ahcn3AtUK1—Wordfence(@wordfence)2020年5月7日在这里,专家建议您还可以采取以下预防措施:未经您的许可主动删除您网站上可能存在的内容所有订阅者级用户谁已注册,因为这可能表示妥协(IOC)。◆请注意名为“wp-xmlrpc.php”的文件,因为这也可能是一个IOC,应该被删除。◆检查文件管理器中的/wp-content/uploads/elementor/custom-icons/目录文件夹,确保没有发现未经授权或未知的文件,攻击者可能已上传以进行攻击。总而言之,在您的网站上安装一个安全插件也很重要,WordFence或Sucuri都可以,它们会主动扫描您的网站以查找任何恶意软件威胁,同时实施限制直接上传任何基于PHP的文件等措施。此外,您还应该手动或通过插件定期备份网站,以确保在发现数据已被删除时始终可以恢复网站。【原创稿件,合作网站转载请注明原作者及出处为.com】
