佛山市顺德区极创防火材料有限公司

根据WebARX的一份报告，针对WordPress主题的插件中的漏洞允许远程执行攻击，赋予管理员完全权限，甚至可能消灭整个网站数据库。 该漏洞是在ThemeGrill Demo importer中发现的，该插件提供了主题，小部件和其他可帮助自定义网站的内容的演示选项的插件。 这些内容由网络开发公司ThemeGrill出售。 为了在激活插件时促进攻击，威胁参与者利用网站中安装的ThemeGrill主题。 然后，他们利用缺少身份验证来获取管理员特权，只要数据库中存在一个名为“ admin”的用户，这是可能的。 但是，无论是否存在这样的用户，仍可以将数据库擦除到默认状态。 有人指出，该漏洞不需要可疑的有效载荷，因此很难检测到。 研究人员认为，根据SVN提交历史记录，从1.3.4版本到1.6.1版本，该问题已经存在了大约3年。 此后，ThemeGrill修复了该漏洞并发布了1.6.2版，同时还发布了1.6.3版。 该插件最初安装在200,000多个WordPress网站中，研究人员能够检测到16,000个威胁。 WebARX发布报告后，网站所有者开始卸载该插件后，该数量下降到100,000。 这个漏洞是在2,000多个WordPress帐户遭到入侵后发现的，该漏洞也通过使用易受攻击的插件加以利用。 消除安全威胁 WordPress为所有网站的35％提供支持，使其成为网络分子的诱人目标。 如今，跨行业的大多数公司和许多个人拥有自己的网站来推广其产品和服务。 许多网站所有者使用通过内容管理系统（CMS）自定义这些网站的选项来确保其网站正确反映其品牌。 但是，使用CMS也有一些风险。 除了利用易受攻击的插件外，还可以通过黑客攻击管理员访问权限，部署Alfa-Shell，搜索引擎优化中毒以及许多其他方法来攻击WordPress网站。 [阅读：研究针对WordPress网站的攻击和技术] 为确保网站所有者可以保护其网站安全，建议执行以下步骤： 立即删除易受攻击的插件。 定期审核当前安装的插件以禁用过时的插件。 部署CMS和插件的最新更新和补丁。 坚持最小特权原则。 建立安全的身份验证过程。 作为防范可能危害站点的风险的附加防护措施，网站所有者和用户都可以使用趋势科技Web安全来武装自己，这有助于防止Internet威胁。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时候联系我们修改或删除，多谢