Dragon
  • 真诚欢迎您的来访,留言,投稿!欢迎(Ctrl+D)收藏并经常访问本站 ---- https://www.ilxtx.com
  • 龙笑天下WordPress带用户中心和商城系统的博客CMS主题Dragon强势来袭,功能众多,总有一个中意你,心动吗? 『立即了解详情
龙笑天龙笑天  2017-02-06 17:33 雷锋网 隐藏边栏 |   28 条评论  405 
文章评分 19 次,平均分 5.0
导语: 快去升级你的 WordPress,否则可能被挂上羞羞的广告。

WordPress 最初一款个人博客系统,由于简单易用便逐渐发展成了内容管理系统,深受广大人民喜爱。

几天前,不少网站管理员发现自己的 WordPress 自动升级到了最新的 4.7.2 版本,正当许多人疑惑不解时,2 月 2 日,安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以任意修改网站内容。

WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容 资讯

Sucuri 方面表示,修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。

据了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 WordPress 的网站都将受到影响。这个漏洞影响范围有多广呢?据有关数据统计,全球至少有 1800 万个网站在使用 WordPress,在排名前一万的网站中,大约有 26%的网站都在使用,相当于四个网站里就有一个在用,其普遍程度可想而知。

虽然至发文时,WordPress 的开发团队已经在最近推出的 4.7.2 版本更新中修补该漏洞,但可能仍有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。

为了防止漏洞被滥用,Sucuri 方面没有提供此漏洞的详尽技术细节,但其在博文中写道:

这一严重漏洞,使得攻击者可以利用多种不同的方法来搞定网站。如果网站安装了某个插件,可能导致 RCE(远程命令执行)。总之大家赶紧更新就对了!

在此建议广大使用 WordPress 的网站管理员及个人博主,尽快升级到最新的 4.7.2 版本,否则很可能当你某一天醒过来时发现自己的网站已经被垃圾消息、赌博、色情广告等不良信息占据。

后话:原本对这个新闻没怎么在意的,但今天突然发现真的有博客出现了这个问题,如阳光盒子的一篇文章的标题和全部内容都被改为了一句话:“hacked by NG689Skw”。百度了这句话,结果有很多网站都...

本文转载自雷锋网,本文观点不代表龙笑天下立场,版权归原作者所有,欢迎分享本文,转载请保留出处!

龙笑天
龙笑天 关注:40    粉丝:27
互助分享,互联网本该如此!

发表评论

表情 贴图 链接 私密 格式 签到
最赞评论
  1. boke112导航
    boke112导航 评论达人 LV.3 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows 7 广西柳州市 移动

    我的都是自动的,所以第一时间就升级到 4.7.2 了,这种升级还是有必要的

  2. 分钱榜
    分钱榜 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows XP 湖南省岳阳市 联通

    防不胜防啊

  3. 何湘辉博客
    何湘辉博客 来自天朝的朋友 谷歌浏览器 53.0.2785.116 Windows 7 湖南省株洲市 联通

    及时更新博客程序。

  1. 情感天地
    情感天地 来自天朝的朋友 谷歌浏览器 63.0.3239.132 Windows 7 江苏省无锡市 电信

    换主题了,这个好大气呀
    多少米
    有下载地址吗

    15楼 2018-10-30 17:07
    0 0 回复
  2. 心动科技
    心动科技 来自天朝的朋友 谷歌浏览器 66.0.3359.139 Windows 10 甘肃省兰州市 联通

    然后我就挖坟!

    14楼 2018-05-07 11:55
    0 0 回复
  3. 心动科技
    心动科技 来自天朝的朋友 谷歌浏览器 66.0.3359.139 Windows 10 甘肃省兰州市 联通

    还好我自动升级的,哈哈哈……

    13楼 2018-05-07 11:55
    0 0 回复
  4. godaddy
    godaddy 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 55.0.2883.87 Windows 8.1 江苏省苏州市常熟市 电信

    朋友 交换链接吗

    12楼 2017-11-01 11:54
    0 0 回复
  5. 彩票自助机
    彩票自助机 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 54.0.2840.87 Windows 10 北京市 联通

    不可大意啊

    11楼 2017-02-10 11:20
    0 0 回复
  6. 明月登楼的博客
    明月登楼的博客 评论达人 LV.3 来自天朝的朋友 QQ浏览器  Android 6.0.1 MI 4LTE Build/MMB29M 河南省南阳市 电信

    我去,朋友的博客也发现这个了!

    10楼 2017-02-09 22:32
    0 0 回复
  7. Koolight
    Koolight 评论达人 LV.3 来自天朝的朋友 谷歌浏览器 50.0.2661.102 Windows 7 安徽省合肥市 联通

    我的都没升级到 4.7,这个零日漏洞应该没有 [憨笑]

    9楼 2017-02-09 21:20
    0 0 回复
  8. 明月登楼的博客
    明月登楼的博客 评论达人 LV.3 来自天朝的朋友 QQ浏览器  Android 6.0.1 MI 4LTE Build/MMB29M 河南省南阳市 电信

    其实我使用 WPJAM-Basic 插件早就禁用 RESET API 了!

    8楼 2017-02-08 22:49
    0 0 回复
  9. 懿古今
    懿古今 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows 7 广西贵港市 移动

    还真有人中招啊,幸好我对于这种都是比较及时的

    7楼 2017-02-07 13:20
    0 0 回复
  10. 夏日草博客 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows 7 北京市朝阳区 联通

    我的也是自动升级的,真怕以后折腾得多了,升级出现问题。

    6楼 2017-02-07 10:00
    0 0 回复
  11. 何湘辉博客
    何湘辉博客 来自天朝的朋友 谷歌浏览器 53.0.2785.116 Windows 7 湖南省株洲市 联通

    及时更新博客程序。

    5楼 2017-02-06 22:53
    1 0 回复
  12. 分钱榜
    分钱榜 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows XP 湖南省岳阳市 联通

    防不胜防啊

    4楼 2017-02-06 21:18
    2 0 回复
  13. boke112导航
    boke112导航 评论达人 LV.3 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows 7 广西柳州市 移动

    我的都是自动的,所以第一时间就升级到 4.7.2 了,这种升级还是有必要的

    地板 2017-02-06 19:42
    3 0 回复
  14. kito
    kito 来自天朝的朋友 谷歌浏览器 56.0.2924.87 Windows 7 湖北省荆门市 联通

    所以及时更新是很必要的

    板凳 2017-02-06 18:27
    0 0 回复
  15. 雅兮网
    雅兮网 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 45.0.2454.101 Windows 7 广东省珠海市 电信

    厉害了我的哥 感觉升级吧

    沙发 2017-02-06 18:19
    0 0 回复
切换注册

登录

短信快捷登录 忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

验证码

您也可以使用第三方帐号一键快捷注册

×

感谢您对龙笑天的支持,么么哒~

支付宝打赏 龙笑天
请扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

龙笑天下 - 分享悲伤;共享快乐

扫一扫二维码分享