WordPress 4.7.1 零日漏洞現身,分分鐘改掉你的網站內容

WordPress 最初一款個人博客系統,由於簡單易用便逐漸發展成了內容管理系統,深受廣大人民喜愛。

幾天前,不少網站管理員發現自己的 WordPress 自動升級到了最新的 4.7.2 版本,正當許多人疑惑不解時,2月2日,安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一種接口規範)存在零日漏洞,攻擊者利用該漏洞可以任意修改網站內容。

blob.png

Sucuri 方面表示,修改 WordPress 網站內容時會產生一個修改數據包,攻擊者通過 REST API 的構造數據包內容,將 URL 進行簡單修改就可以繞過賬號驗證直接查看網站內容。此外還可以在未經身份驗證的情況下任意增刪改查文章、頁面及其他內容。

據雷鋒網了解,存在問題的 REST API 自 WordPress 4.7 版本以來就被默認開啟,因此所有使用 4.7 或 4.7.1 版本 Wordpress 的網站都將受到影響。這個漏洞影響範圍有多廣呢?據有關數據統計,全球至少有1800萬個網站在使用 WordPress,在排名前一萬的網站中,大約有26%的網站都在使用,相當於四個網站里就有一個在用,其普遍程度可想而知。

雖然至發文時,WordPress 的開發團隊已經在最近推出的 4.7.2 版本更新中修補該漏洞,但可能仍有相當一部分網站沒有開啟自動更新,考慮到 WordPress 的使用者甚多,受影響的網站數量依然不容小覷。

為了防止漏洞被濫用,Sucuri 方面沒有提供此漏洞的詳盡技術細節,但其在博文中寫道:

這一嚴重漏洞,使得攻擊者可以利用多種不同的方法來搞定網站。如果網站安裝了某個插件,可能導致RCE(遠程命令執行)。總之大家趕緊更新就對了!

雷鋒網在此建議廣大使用 Wordpress 的網站管理員及個人博主,儘快升級到最新的4.7.2版本,否則很可能當你某一天醒過來時發現自己的網站已經被垃圾消息、賭博、色情廣告等不良信息佔據。

雷鋒網


想在手機閱讀更多Wordpress資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems