WordPress插件出現漏洞,數百萬網站遭探測和攻擊

2020-09-07 站長之家

站長之家(ChinaZ.com) 9月7日 消息:根據Wordfence網絡防火牆背後的公司Defiant消息,上周數以百萬計的WordPress網站遭到了探測和攻擊。

站長之家了解到,黑客發現並開始利用「File Manager」中的一個零日漏洞後,攻擊突然激增。「File Manager」是一個安裝在 70 多萬個站點上的流行WordPress插件。

而該零日漏洞是一個未經身份驗證的文件上傳漏洞,它允許攻擊者將惡意文件上傳到運行較舊版本「File Manager」插件的站點上。

目前尚不清楚黑客是如何發現插件的零日漏洞,但從上周早些時候開始,他們開始搜索可能安裝該插件的網站。

一旦探測到,攻擊者將利用零日,在受害者的伺服器上上傳一個偽裝在圖像文件中的web shell。然後,攻擊者將訪問web shell並控制受害者的站點。

(站長之家註:webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種代碼執行環境,也可以將其稱做為一種網頁後門。)

「過去幾天來,針對這一漏洞的攻擊急劇增加,」Defiant的威脅分析師Ram Gall表示。

攻擊開始緩慢,但在過去一周不斷加強,僅僅在 9 月 4 日, Defiant 就記錄了對 100 萬個WordPress站點攻擊記錄。

Gall表示,自 9 月 1 日第一次發現攻擊以來,Defiant總共阻止了對 170 多萬個網站的攻擊。

170 萬這個數字超過了使用Wordfence網絡防火牆網站數量的一半。Gall認為,攻擊的真正規模甚至更大,因為WordPress被安裝在數以億計的網站上,所有這些網站都可能逐漸被探測和攻擊。

好消息是,File Manager開發團隊在發現攻擊的同一天發布了一個補丁,一些網站所有者已經安裝了補丁。

最近,WordPress開發團隊為WordPress主題和插件添加了一個自動更新功能。

從上個月發布的WordPress 5. 5 開始,網站所有者可以配置插件和主題,以便在每次有新更新發布時自動更新自己,並確保他們的網站始終運行主題或插件的最新版本,以確保安全不受攻擊。

相關焦點

  • WordPress將為主題和插件添加自動更新功能 有望減少網站遭黑客攻擊
    WordPress將為主題和插件添加自動更新功能 有望減少網站遭黑客攻擊 站長之家(ChinaZ.com) 3月16日 消息:WordPress開發團隊正在為主題和插件添加自動更新機制
  • 網站漏洞檢測 wordpress sql注入漏洞代碼審計與修復
    wordpress系統本身代碼,很少出現sql注入漏洞,反倒是第三方的插件出現太多太多的漏洞,我們SINE安全發現,僅僅2019年9月份就出現8個插件漏洞,因為第三方開發的插件,技術都參差不齊,對安全方面也不是太懂導致寫代碼過程中沒有對sql注入,以及xss跨站進行前端安全過濾,才導致發生sql
  • Wordpress 插件出現漏洞,網站可能被攻擊者接管
    據安全研究人員警告,因舊版 Wordpress Simple Social Button 插件出現漏洞,使用這個插件的網站應該儘快更新軟體,避免攻擊者攻擊並接管網站。
  • WordPress 捐贈插件漏洞,導致網站遭受零日攻擊
    使用「Total Donations」插件的 WordPress 網站,Defiant 建議網站管理員從他們的伺服器中刪除該插件,防止黑客利用其代碼漏洞攻擊網站。
  • 黑客正在利用多個 WordPress 插件的 0day 漏洞對網站發起攻擊 |...
    在過去的兩周中,我們發現針對 WordPress 網站的攻擊有所復甦,這標誌著 12 月和 1 月相對平靜的時期已經結束。Wordfence、WebARX 和 NinTechNet 等幾家專門研究 WordPress 安全產品的網絡安全公司報告說,對 WordPress 網站的攻擊越來越多。
  • WordPress插件爆RCE漏洞,70萬網站曝險,已有黑客發動攻擊
    WordPress插件出現重大零時差漏洞,而且這次黑客發現得更早。芬蘭Wordpress網站託管公司Seravo本周發現黑客正在針對WP File Manager一項遠程程序代碼執行(RCE)漏洞對多家網站發動攻擊。
  • WordPress SMTP 0 day漏洞
    研究人員在WordPress SMTP 插件中發現了一個0 day漏洞,攻擊者利用該插件漏洞可以重置管理員帳戶密碼。WordPress SMTP插件是非常受歡迎的一個插件,是一個允許網站管理員配置網站郵件的SMTP 設置的插件。已經在超過50萬個網站中安裝。
  • 曾被全球廣泛使用的博客系統WordPress被大量攻擊,它還靠譜嗎
    wordpress在線視頻壓縮的插件官網說 wordpress是一款開源軟體,可以用來創建一個網站,一個博客,或者一個APP(移動應用)。可是就是這個用戶眾多的博客系統,在上周爆出了一個竟然的消息:據來自 Sucuri 和 Malwarebytes的安全研究員稱,本月(9月)有成千上萬的的 WordPress 網站遭到黑客入侵並被惡意代碼攻擊。儘管這些事件的入口似乎都不同,但都遵循類似的模式 —— 從已知威脅者處加載惡意代碼。
  • 黑客正積極利用多個WordPress插件零日漏洞
    據報導,今年 2 月份以來,針對WordPress網站的攻擊越來越頻繁。幾家專門從事WordPress安全產品的網絡安全公司,如Wordfence、WebARX和NinTechNet,已經報導了對WordPress站點的攻擊數量不斷增加。2 月份,有報發現所有新攻擊都集中在利用WordPress插件中的漏洞,而不是WordPress本身的問題。
  • 推薦一款WordPress網站安全掃描木馬清理插件
    Wordfence Security具備以下功能:文件防篡改:可檢測核心文件、主題文件、插件文件是否被篡改、掛馬、插後門。後門檢測:可檢測網站文件中是否包含已知的惡意腳本。防火牆:可通過防火牆規則自動屏蔽正在從事危險行為的訪客。具備一定的防DDOS能力。
  • WordPress網站安裝多少個插件才算得上「太多了」?
    可能你會從很多技術那裡聽到一句話「你的wordpress安裝太多插件了,所以網站特別慢!」但沒人會說我們應該安裝多少插件,多少才算不多?由於非技術用戶對WordPress插件存在很多誤解,也不清楚它們如何影響網站速度,性能和安全性,因此微慕小程序寫這篇文章來解釋下。在本文中,我們將說明您的網站上應安裝多少WordPress插件。
  • WordPress插件配置文件生成器中的嚴重漏洞
    流行的WordPress用戶角色插件中的漏洞使任何隨機的人都可以在目標網站上創建管理員級別的帳戶。WordPress安全企業Wordfence給Profile Builder中的錯誤提供了10.0的CVSS評分,儘管該錯誤的確切詳細信息尚無法在常規的CVE跟蹤網站上找到。
  • 外貿網站5大基本WordPress插件推薦(2019)
    2019-12-06 11:09 因為世界上存在的網站60%都是用wordpress來做的,這就給wordpress插件很好的生存環境。非常多的強大插件一直都是隨著wordpress更新而迅速更新。
  • 網站安全對策有做好嗎?教你如何使用wordpress的進行備份
    雖然WordPress很方便,但另一方面,也會有許多損壞情況發生,例如非法登錄和用戶劫持。為了保證安全,使用WordPress是要定期備份。WordPress需要安全措施嗎?對於wordpress需要安全對策的理由,主要有以下3點。漏洞很容易被發現由於WordPress發布了原始碼,因此容易發現漏洞。
  • WP菜鳥建站10:怎樣給wordpress網站安裝插件?
    什麼是wordpress插件?說白了,插件就是wordpress主題功能的延伸,讓我們的網站在原有的基礎上,增加相應的功能。wordpress為我們提供了成千上萬的插件,還有眾多的獨立開發者。對於wordpress高手來說,完全可以把插件的代碼放到wordpress主題代碼中,這樣做的好處是:減少資源佔有率。因為插件會佔用一定的資源,從而影響網站速度,插件裝得越多,調用就越多,影響就越大。但是,對於wordpress新手來說,代碼動手能力弱,只有通過插件來實現自己想要的功能。那麼,我們應該怎樣為我們的wordpress網站安裝插件呢?
  • WordPress主題插件嚴重漏洞修復,影響將近20萬個網站
    WordPress的ThemeGrill Demo Importer程序的開發人員已更新了該插件,刪除一個嚴重漏洞,該漏洞為未經身份驗證的用戶提供了管理員特權。攻擊者可以管理員身份登錄,並將網站的整個資料庫還原為默認狀態,從而完全控制這些網站。
  • 如何備份和恢復wordpress網站數據
    無論用什麼程序搭建的網站,你一定要記住做網站數據很重要。一旦網站被黑客攻擊插入病毒代碼或者伺服器宕機無法恢復數據,到時候哭都來不及。所以定期備份網站數據非常重要非常重要非常重要,重要的事情說三遍。網站數據主要包含兩個方面:資料庫內容,網站文件。今天本文主要說一下wordpress網站如何備份和恢復數據。
  • 卡巴斯基:Firefox零日漏洞已遭攻擊
    卡巴斯基:Firefox零日漏洞已遭攻擊 2010年10月31日 02:25作者:陳濤編輯:陳濤文章出處:泡泡網原創     泡泡網軟體頻道10月
  • wordpress插件,怎樣向網站添加數據?試試wp_head()函數
    在部分功能應用上,我們可以使用wp_head()這個函數 + 插件的形式來完成一些功能。下面一起來看看wp_head()函數是如何來將插件數據插件前臺頁面的。一、給wordpress網站創建插件。進入到wordpress網站的插件目錄/wp-content/plugins/,在這個插件目錄下創建一個app目錄,也就是要創建一個名為app的插件。
  • 搭建wordpress博客網站
    (操作前提:已經購買或者使用免費的伺服器與域名,完成域名和伺服器綁定;如果已經購買國內伺服器,已通過備案審核。)一、下載和安裝1.下載wordpress。官方地址:https://wordpress.org/download/(已死),可以找一些正規的論壇或者可靠的軟體平臺下載。