WordPress是互聯(lián)網(wǎng)上使用最廣泛的網(wǎng)站構(gòu)建技術(shù)。根據(jù)最新統(tǒng)計(jì)數(shù)據(jù)，所有互聯(lián)網(wǎng)網(wǎng)站中超過35％的網(wǎng)站運(yùn)行WordPress CMS（內(nèi)容管理系統(tǒng)）版本瀑焦。

本站也是在WordPress上構(gòu)建的！當(dāng)然會比較關(guān)注這個WordPress任何有關(guān)的漏洞與插件/主題后門梗肝！

由于安裝數(shù)量眾多榛瓮，WordPress是一個巨大的攻擊面。與去年相比在過去的幾個月中巫击，嘗試攻擊WordPress的黑客一直處于較低水平禀晓。造成這種停機(jī)的原因可能是冬季假期，正如我們在前幾年所看到的那樣坝锰，這通常會導(dǎo)致惡意軟件和黑客活動在全球范圍內(nèi)放緩粹懒，因?yàn)楹诳鸵矔菹⒁幌隆?/p>

在過去的幾個月中，我發(fā)現(xiàn)針對WordPress網(wǎng)站的攻擊有所增加什黑！

Wordfence崎淳，WebARX和NinTechNet等幾家專門研究WordPress安全產(chǎn)品的網(wǎng)絡(luò)安全公司報(bào)告說堪夭，對WordPress網(wǎng)站的攻擊越來越多愕把。

上個月發(fā)現(xiàn)的所有新攻擊都集中在利用WordPress插件中的錯誤，而不是利用WordPress本身森爽。

許多攻擊都針對最近修補(bǔ)的插件漏洞恨豁，黑客希望在站點(diǎn)管理員安裝補(bǔ)丁之前劫持網(wǎng)站。

一些攻擊利用了 0 day 漏洞爬迟，攻擊過程也更加復(fù)雜橘蜜。

以下是4月份發(fā)生的一些WordPress攻擊活動的摘要，這些活動針對WordPress插件漏洞。

建議網(wǎng)站管理員更新以下列出的所有WordPress插件计福，因?yàn)樗鼈兒芸赡茉谡麄€2020年甚至更長時間內(nèi)都將被利用跌捆。

Duplicator：

根據(jù)Wordfence的一份報(bào)告，自2月中旬以來象颖，黑客利用了Duplicator中的一個漏洞佩厚，該插件允許站點(diǎn)管理員導(dǎo)出其站點(diǎn)的內(nèi)容。

該漏洞在1.3.28中修復(fù)说订，攻擊者可以從中導(dǎo)出站點(diǎn)副本抄瓦，從中提取數(shù)據(jù)庫憑據(jù)，然后劫持WordPress站點(diǎn)的底層MySQL服務(wù)器陶冷。

Profile Builder Plugin：

Profile Builder插件的免費(fèi)和專業(yè)版本中還有另一個主要的bug钙姊。該漏洞允許黑客在WordPress網(wǎng)站注冊未經(jīng)授權(quán)的管理員帳戶。

該漏洞于2月10日修補(bǔ)埂伦，但攻擊始于2月24日煞额，即POC代碼在網(wǎng)上發(fā)布的同一天。據(jù)報(bào)道沾谜，至少有兩個黑客組織正在利用這個漏洞立镶。

超過65000個站點(diǎn)（50000個使用免費(fèi)版本，15000個使用商業(yè)版本）易受攻擊类早，除非他們將插件更新到最新版本媚媒。

ThemeGrill Demo Importer：

據(jù)信，利用上述插件的同兩個黑客組織還將目標(biāo)鎖定在ThemeGrill演示導(dǎo)入程序中的一個bug上涩僻，ThemeGrill是一家商業(yè)WordPress主題供應(yīng)商缭召，該插件附帶ThemeGrill出售的主題。

攻擊逆日，已經(jīng)被Wordfence嵌巷、WebARX和Twitter上的獨(dú)立研究人員證實(shí)。POC代碼也可以在線獲得室抽。建議用戶盡快更新到v1.6.3搪哪。

ThemeREX Addons：

還發(fā)現(xiàn)針對ThemeREX Addons的攻擊，該插件是預(yù)裝所有ThemeREX商業(yè)主題的WordPress插件坪圾。

根據(jù)Wordfence的報(bào)告晓折，攻擊始于2月18日，當(dāng)時黑客在插件中發(fā)現(xiàn)了一個零日漏洞兽泄，并開始利用該漏洞在易受攻擊的網(wǎng)站上創(chuàng)建惡意管理員帳戶漓概。

盡管攻擊仍在進(jìn)行中，但始終沒有提供修補(bǔ)程序病梢，建議站點(diǎn)管理員盡快從其站點(diǎn)中刪除該插件胃珍。

Flexible Checkout Fields for WooCommerce：

攻擊還針對運(yùn)行WooCommerce插件的“ 靈活結(jié)帳字段”插件的網(wǎng)站，該插件安裝在20,000多個基于WordPress的電子商務(wù)網(wǎng)站上。

黑客使用了一個（現(xiàn)在已修補(bǔ)）的零日漏洞來注入XSS攻擊觅彰，該攻擊可以在已登錄管理員的儀表板中觸發(fā)吩蔑。XSS有效加載使黑客能夠在易受攻擊的站點(diǎn)上創(chuàng)建管理員帳戶。

Async Java, 10Web Map Builder for Google Maps, Modern Events Calendar Lite