行業(yè)動態(tài)

兩個流行的WordPress插件缺陷致使數(shù)百萬網(wǎng)站面臨風險

來源:聚銘網(wǎng)絡    發(fā)布時間:2020-05-09    瀏覽次數(shù):
 

信息來源:51CTO

WordPress是使用PHP語言開發(fā)的博客平臺,用戶可以在支持PHP和MySQL數(shù)據(jù)庫的服務器上架設屬于自己的網(wǎng)站,也可以把 WordPress當作一個內(nèi)容管理系統(tǒng)(CMS)來使用。WordPress因其易用性,廣受開發(fā)人員的喜愛。在WordPress世界中有各種各樣的主題和插件,開發(fā)人員可以利用他們輕松地構(gòu)建網(wǎng)站。

相信很多人一開始就被WordPress所吸引,可能是因為其強大的插件系統(tǒng)。盡管WordPress本身存在許多功能缺陷,但它可以通過插件彌補這些缺陷。然而,插件也會存在漏洞,帶來安全風險。

近日,據(jù)某外媒報道,Elementor Pro與Ultimate Addons for Elementor這兩個流行的WordPress插件缺陷,正致使數(shù)百萬網(wǎng)站面臨風險。其中,Elementor Pro插件是一個網(wǎng)站構(gòu)建器,允許用戶使用拖放構(gòu)建器添加模塊并自定義其網(wǎng)站。其深受用戶歡迎,目前有超過一百萬的活躍用戶。

兩個流行的WordPress插件缺陷致使數(shù)百萬網(wǎng)站面臨風險

有關(guān)研究發(fā)現(xiàn),該Elementor Pro插件存在漏洞易受到黑客攻擊,攻擊者可以利用該漏洞遠程上傳任意文件,從而執(zhí)行未經(jīng)授權(quán)的代碼,這將帶來嚴重危害。例如,考慮可以以這種方式安裝后門和Web Shell,這兩者都可以使攻擊者為其自身訪問站點的關(guān)鍵部分(例如文件系統(tǒng))創(chuàng)建重復進行遠程訪問的途徑,執(zhí)行站點數(shù)據(jù)刪除操作。值得注意的是,攻擊者必須是有問題的WordPress網(wǎng)站的注冊用戶,此攻擊才能起作用。

但是,如果由于某些原因無法滿足此先決條件,則有另一個名為Ultimate Addons for Elementor的插件,Ultimate Addons是一個獨特的Elementor小工具庫,可為頁面生成器增加更多的功能和靈活性。

據(jù)悉,該插件的1.24.1及以下版本中存在漏洞,允許某人無需任何管理員批準的用戶注冊即可攻擊主要Elementor Pro插件。也就是說,WordPress具有不同的用戶角色,其中之一包括訂戶。 在這種情況下,要注冊為訂戶,無需獲得站點管理員的批準,允許攻擊者自己這樣做,從而利用存在的漏洞。

與所有內(nèi)容一樣,請放心,這些內(nèi)容也都已提供修復程序。根據(jù)WP行業(yè)安全插件WordFence發(fā)布的準則指出,Elementor Pro于5月7日發(fā)布補丁,對Elementor Pro的最新版本進行更新將有助于保護您的網(wǎng)站。

Wordfence發(fā)送了一條針對該問題的推文:

 更新:@elemntor已發(fā)布Pro版本2.9.4,并且我們的威脅情報團隊已驗證它可以修復已驗證的文件上傳漏洞。請確保將Elementor Pro插件更新為2.9.4。對Elementor表示感謝,以獲取快速修復。https://t.co/Ahcn3AtUK1

——Wordfence(@wordfence)2020年5月7日

在此,專家建議您還可以采取以下預防措施:

◆主動刪除未經(jīng)您的許可可能已在您的網(wǎng)站上注冊的所有訂戶級用戶,因為這可能表示妥協(xié)(IOC)。

◆請注意一個名為“wp-xmlrpc.php”的文件,因為這也可能是一個IOC,應將其刪除。

◆檢查文件管理器中的/wp-content/uploads/elementor/custom-icons/目錄文件夾,以確保在此處未找到攻擊者可能已上傳進行攻擊的未授權(quán)或未知文件。

總而言之,在站點上安裝安全插件也很重要,WordFence或Sucuri都可以工作,它們可以主動掃描您的站點是否存在任何惡意軟件威脅,同時通過實施措施(例如限制直接上傳任何基于PHP的文件。

此外,您還應該手動或通過插件對站點進行定期備份,以確保在發(fā)現(xiàn)數(shù)據(jù)被刪除的情況下始終可以恢復站點。


 
 

上一篇:黑客聲稱竊取GitHub 500GB源代碼,準備不出售直接泄露

下一篇:2020年05月09日 聚銘安全速遞