WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容

2017-02-06 17:33 605 27 条评论 雷锋网
导语: 快去升级你的 WordPress,否则可能被挂上羞羞的广告。
Dragon主题购买

WordPress 最初一款个人博客系统,由于简单易用便逐渐发展成了内容管理系统,深受广大人民喜爱。

几天前,不少网站管理员发现自己的 WordPress 自动升级到了最新的 4.7.2 版本,正当许多人疑惑不解时,2 月 2 日,安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以任意修改网站内容。

WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容

Sucuri 方面表示,修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。

据了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 WordPress 的网站都将受到影响。这个漏洞影响范围有多广呢?据有关数据统计,全球至少有 1800 万个网站在使用 WordPress,在排名前一万的网站中,大约有 26%的网站都在使用,相当于四个网站里就有一个在用,其普遍程度可想而知。

虽然至发文时,WordPress 的开发团队已经在最近推出的 4.7.2 版本更新中修补该漏洞,但可能仍有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。

为了防止漏洞被滥用,Sucuri 方面没有提供此漏洞的详尽技术细节,但其在博文中写道:

这一严重漏洞,使得攻击者可以利用多种不同的方法来搞定网站。如果网站安装了某个插件,可能导致 RCE(远程命令执行)。总之大家赶紧更新就对了!

在此建议广大使用 WordPress 的网站管理员及个人博主,尽快升级到最新的 4.7.2 版本,否则很可能当你某一天醒过来时发现自己的网站已经被垃圾消息、赌博、色情广告等不良信息占据。

后话:原本对这个新闻没怎么在意的,但今天突然发现真的有博客出现了这个问题,如阳光盒子的一篇文章的标题和全部内容都被改为了一句话:“hacked by NG689Skw”。百度了这句话,结果有很多网站都...

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

本文转载自雷锋网,本文观点不代表龙笑天下立场,版权归原作者所有,欢迎分享本文,转载请保留出处!

2016-10-28

2017-03-22

发表评论

表情 格式 贴图 链接 私密 签到
Dragon主题购买阿里云特价云服务器1核2G低至86元,N4共享型服务器3年仅需799元腾讯云特价云服务器1核2G 88元/年 2核4G3M688元/3年,更有千元代金券礼包免费领!
评论
正在努力加载中...
扫一扫二维码分享
×
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies. Learn more