WordPress两个插件存在严重漏洞 或致32万个网站受攻击(在线编辑WordPress插件及常见问题)

WordPress两个插件存在严重漏洞 或致32万个网站受攻击

站长之家(ChinaZ.com) 1月16日 消息:据zdnet报道，WordPress的两个插件 InfiniteWP Client和 WP Time Capsule被曝出现严重的安全漏洞，估计有 32 万个网站容易被利用攻击。

这两个插件被用于在一服务器上管理多个WordPress网站，并在发布更新时为文件和数据库条目创建备份。WebArx的网络安全研究人员发现，代码中存在逻辑问题，允许他人无需密码即可登录管理员帐户。

根据WordPress插件库数据，InfiniteWP活跃在超过300， 000 个网站，而WP Time Capsule在至少活跃在20， 000 个网站上。

周二，研究小组表示，影响InfiniteWP 1.9.4. 5 以下版本的逻辑问题意味着，使用 JSON 和 Base64 编码的 POST 请求有效负载可以绕过密码请求，只需知道管理员的用户名即可登录。

而在1.21. 16 以下的WP Time Capsule版本中，函数行中的问题可以通过在原始POST请求中添加一个精心设计的字符串来调用一个函数，该函数获可取所有可用的管理员帐户，并作为列表中的第一个管理员登录。

1 月 7 日，WebArx 向这两款插件的开发者报告了这些漏洞，开发者迅速作出反应，并在一天后发布软件更新。Webarx建议网站管理员尽快安装更新避免遭受攻击，因为防火墙保护将不起作用

在线编辑WordPress插件及常见问题

编辑

虽然WordPress提供了在线修改插件源代码的工具，但是这个功能，不常用！

f、解决后台速度慢的问题

在后台进行操作的时候，会发现页面加载比较慢，原因是……

1）、无法正常加载用户头像的图片

解决办法：

安装这个插件之后，即可解决头像图片无法正常显示的问题

2）、WordPress使用到了谷歌字体

但是因为谷歌服务在中国无法正常运行。

解决办法：

安装名字叫做……disable google fonts

上一篇：如何管理已安装的插件

下一篇：内容类型简介