黑客已对90万个WordPress网站发起威胁

根据有效载荷，这些攻击似乎是由一个黑客发起的，在过去的一个月中，他至少使用了24,000个IP‌地址向900,000多个站点发送恶意请求。

在4月28日之后，攻击尝试有所增加。WordPress安全公司Divisant在5月3日检测到针对50多万个网站的2000万次攻击。

Defiant高级质量检查官Ram Gall表示，攻击者主要集中在插件中的跨站点脚本(XSS)漏洞利用上，这些漏洞虽然在几个月或几年前已得到修复，但黑客还是针对没有更新的用户进行了攻击。

将访问者重定向到恶意网站是妥协的办法之一。如果JavaScript是由登录的管理员的浏览器执行的，则代码将尝试在头文件中插入一个PHP后门以及另一个JavaScript。

然后，后门获取另一个有效负载，并将其存储在主题的标头文件中，以尝试执行该有效负载。“这种方法可以让攻击者保持对网站的控制。”

这样，攻击者可以切换到另一个有效负载，该有效负载可能是Webshell，创建恶意管理员的代码或用于删除整个网站内容的代码。今天的报告中包含了最终有效载荷的危害指标。

注意旧的漏洞

Gall说，已检测到多个漏洞，但以下是最有针对性的漏洞。(请注意，这些易受攻击的插件要么已从官方存储库中删除，要么已在去年或之前收到修补程序。)

Easy2Map 插件中的XSS漏洞已于2019年8月从WordPress插件存储库中删除，我们估计该漏洞 可能安装在不到3,000个站点上。这占所有攻击的一半以上。

Blog Designer中的XSS漏洞已于2019年修补。虽然此漏洞是以前活动的目标，但我们估计不超过1,000个易受攻击的安装仍然存在。

2018年底修补了WP-GDPR-Compliance中的选项更新漏洞，该漏洞允许攻击者除了更改其他选项外，还更改网站的主URL。此插件的安装量超过100,000，我们估计有不超过5,000个易受攻击的安装仍然存在。

Total捐赠中存在一个选项更新漏洞，允许攻击者更改网站的主页URL。这个插件在2019年初被从Envato市场永久删除，我们估计总安装量不到1000个。

Newspaper主题中的XSS漏洞已于2016年修复。这一漏洞过去也曾成为攻击目标。

由此看出，WordPress插件漏洞的历史遗留问题确实存在，建议WordPress网站的管理员应该及时更新他们的插件并删除那些不在WordPress存储库中的插件。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!