到目前为止,WordPress是互联网上使用最广泛的网站建站技术。根据最近的统计,超过35%的互联网网站使用WordPress CMS(内容管理系统)。
由于WordPress有着大量的用户,也就成为攻击者的目标。据报道,今年 2 月份以来,针对WordPress网站的攻击越来越频繁。几家专门从事WordPress安全产品的网络安全公司,如Wordfence、WebARX和NinTechNet,已经报道了对WordPress站点的攻击数量不断增加。
2 月份,有报发现所有新攻击都集中在利用WordPress插件中的漏洞,而不是WordPress本身的问题。许多攻击的目标是最近修补的插件漏洞,黑客希望在网站管理员有机会安装安全补丁之前劫持网站。
然而,也有一些攻击也稍微复杂一点。一些攻击者还发现并开始利用零日漏洞。以下是以下是二月份发生的针对新WordPress插件漏洞攻击的总结。建议网站管理员赶紧更新下列出现的WordPress插件,避免相关网站接下来遭黑客攻击利用。
Duplicator
根据Wordfence的一份报告,自 2 月中旬以来,黑客已经利用了Duplicator中的一个漏洞,这是一个允许站点管理员导出其站点内容的插件。
该漏洞允许攻击者导出该站点的副本,并从中提取数据库凭证,然后劫持WordPress站点的底层MySQL服务器,之后在1.3. 28 修复。
更糟糕的是,Duplicator是WordPress门户上最流行的插件之一,大约在 2 月 10 日攻击开始时,其安装量超过 100 多万次。另外 17 万个站点上安装的该插件的商业版本Duplicator Pro也受到了影响。
Profile Builder
免费版和专业版的Profile Builder插件中还有另一个主要漏洞,允许黑客在WordPress网站上注册未经授权的管理帐户。
该漏洞于 2 月 10 日被修复,但攻击开始于 2 月 24 日。根据报告,至少有两个黑客组织正在利用这个漏洞。超过65, 000 个站点(50, 000 个使用免费版本,15, 000 个使用商业版本)容易受到攻击,除非它们将插件更新到最新版本。
ThemeGrill Demo Importer
另外一个漏洞存在于ThemeGrill Demo Importer,该插件附带了出售商业WordPress主题的web开发公司ThemeGrill出售的主题。
WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未经身份验证的攻击者的远程攻击。黑客可以将站点的内容重置为零,有效地清除了所有WordPress站点中ThemeGrill主题激活的内容,并且安装了易受攻击的插件。
此外,如果站点的数据库包含一个名为“admin”的用户,那么攻击者将被授予对该用户的访问权,该用户拥有站点的完全管理员权限。超过 20 万个站点安装了这一插件,建议尽快更新至v1.6. 3 版本。
ThemeREX Addons
安全人员还发现了针对ThemeREX插件的攻击,这是一个预装了所有ThemeREX商业主题的WordPress插件。根据Wordfence的报告,攻击始于 2 月 18 日,当时黑客发现了插件的零日漏洞,并开始利用它在易受攻击的站点上创建流氓管理帐户。
尽管攻击仍在继续,但始终没有提供补丁,网站管理员被建议尽快从他们的网站删除插件。
Flexible Checkout Fields for WooCommerce
攻击还针对运行 Flexible Checkout Fields for WooCommerce插件的网站,该插件安装在超过20, 000 个基于WordPress的电子商务网站上。
黑客利用一个(现已修补)零日漏洞注入XSS有效负载,可在登录管理员的仪表板中触发。XSS的有效载荷允许黑客在易受攻击的网站上创建管理账户。
自 2 月 26 日[1,2]以来,该类型攻击一直在进行。
此外, Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite 三款插件也存在类似的零日漏洞,它们分别应用在了100,000、20, 000 和40, 000 个站点。(zdnet)