一份新报告显示,针对WordPress网站的攻击越来越多,所有攻击都利用了流行插件中的安全漏洞。
上个月针对WordPress网站的许多攻击都涉及黑客试图通过针对最近修补的插件错误来劫持网站。
在其他情况下,攻击者能够在不同的插件中发现零日漏洞。 这是指插件开发人员未知的漏洞,这意味着可能没有可用的补丁程序。
这是所有被标识为最近一系列攻击的一部分的插件的列表。
如果您在网站上使用这些插件中的任何一个,建议您立即对其进行更新,并全年保持警惕。
复制器(超过一百万的安装)
Duplicator是一个插件,可让网站所有者导出其网站内容。 1.3.28版中修复了一个错误,该漏洞使攻击者可以导出站点内容,包括数据库凭据。
ThemeGrill演示导入器(200,000个安装)
ThemeGrill出售的主题随附此插件中的错误,攻击者可以清除网站并接管管理员帐户。 此错误已在1.6.3版中修复。
Profile Builder插件(安装65,000)
此插件的免费和付费版本中的错误使黑客可以注册未授权的管理员帐户。 该错误已于2月10日修复。
WooCommerce的灵活结帐字段(20,000个安装)
该插件的零日漏洞利用允许攻击者注入XSS有效载荷,然后可以在已登录管理员的仪表板中触发该XSS有效载荷。 攻击者使用XSS负载创建恶意管理员帐户。
攻击于2月26日开始。此后已经发布了补丁。
ThemeREX插件
该插件附带所有ThemeREX商业主题的零日攻击程序,使攻击者可以创建流氓管理员帐户。
攻击于2月18日开始。尚未针对该错误发布补丁程序,因此建议网站所有者尽快删除该插件。
异步JavaScript(已安装10万个)
10用于Google Maps的Web Map Builder(2万次安装)
现代活动日历精简版(安装40k)
在这些插件中发现了三个类似的零日漏洞。 每个补丁都可用。
资料来源: ZDNet