WordPress兩個插件存在嚴重漏洞 或致32萬個網站受攻擊(在線編輯WordPress插件及常見問題)

WordPress兩個插件存在嚴重漏洞 或致32萬個網站受攻擊

站長之家(ChinaZ.com) 1月16日 消息:據zdnet報道，WordPress的兩個插件 InfiniteWP Client和 WP Time Capsule被曝出現嚴重的安全漏洞，估計有 32 萬個網站容易被利用攻擊。

這兩個插件被用於在一伺服器上管理多個WordPress網站，並在發布更新時為文件和資料庫條目創建備份。WebArx的網路安全研究人員發現，代碼中存在邏輯問題，允許他人無需密碼即可登錄管理員帳戶。

根據WordPress插件庫數據，InfiniteWP活躍在超過300， 000 個網站，而WP Time Capsule在至少活躍在20， 000 個網站上。

周二，研究小組表示，影響InfiniteWP 1.9.4. 5 以下版本的邏輯問題意味著，使用 JSON 和 Base64 編碼的 POST 請求有效負載可以繞過密碼請求，只需知道管理員的用戶名即可登錄。

而在1.21. 16 以下的WP Time Capsule版本中，函數行中的問題可以通過在原始POST請求中添加一個精心設計的字元串來調用一個函數，該函數獲可取所有可用的管理員帳戶，並作為列表中的第一個管理員登錄。

1 月 7 日，WebArx 向這兩款插件的開發者報告了這些漏洞，開發者迅速作出反應，並在一天後發布軟體更新。Webarx建議網站管理員儘快安裝更新避免遭受攻擊，因為防火牆保護將不起作用

在線編輯WordPress插件及常見問題

編輯

雖然WordPress提供了在線修改插件源代碼的工具，但是這個功能，不常用！

f、解決後台速度慢的問題

在後台進行操作的時候，會發現頁面載入比較慢，原因是……

1）、無法正常載入用戶頭像的圖片

解決辦法：

安裝這個插件之後，即可解決頭像圖片無法正常顯示的問題

2）、WordPress使用到了谷歌字體

但是因為谷歌服務在中國無法正常運行。

解決辦法：

安裝名字叫做……disable google fonts

上一篇：如何管理已安裝的插件

下一篇：內容類型簡介