WordPress兩個插件存在嚴重漏洞 或致32萬個網站受攻擊(在線編輯WordPress插件及常見問題)
WordPress兩個插件存在嚴重漏洞 或致32萬個網站受攻擊
站長之家(ChinaZ.com) 1月16日 消息:據zdnet報道,WordPress的兩個插件 InfiniteWP Client和 WP Time Capsule被曝出現嚴重的安全漏洞,估計有 32 萬個網站容易被利用攻擊。
這兩個插件被用於在一伺服器上管理多個WordPress網站,並在發布更新時為文件和資料庫條目創建備份。WebArx的網路安全研究人員發現,代碼中存在邏輯問題,允許他人無需密碼即可登錄管理員帳戶。
根據WordPress插件庫數據,InfiniteWP活躍在超過300, 000 個網站,而WP Time Capsule在至少活躍在20, 000 個網站上。
周二,研究小組表示,影響InfiniteWP 1.9.4. 5 以下版本的邏輯問題意味著,使用 JSON 和 Base64 編碼的 POST 請求有效負載可以繞過密碼請求,只需知道管理員的用戶名即可登錄。
而在1.21. 16 以下的WP Time Capsule版本中,函數行中的問題可以通過在原始POST請求中添加一個精心設計的字元串來調用一個函數,該函數獲可取所有可用的管理員帳戶,並作為列表中的第一個管理員登錄。
1 月 7 日,WebArx 向這兩款插件的開發者報告了這些漏洞,開發者迅速作出反應,並在一天後發布軟體更新。Webarx建議網站管理員儘快安裝更新避免遭受攻擊,因為防火牆保護將不起作用
在線編輯WordPress插件及常見問題
編輯
雖然WordPress提供了在線修改插件源代碼的工具,但是這個功能,不常用!
f、解決後台速度慢的問題
在後台進行操作的時候,會發現頁面載入比較慢,原因是……
1)、無法正常載入用戶頭像的圖片
解決辦法:
安裝這個插件之後,即可解決頭像圖片無法正常顯示的問題
2)、WordPress使用到了谷歌字體
但是因為谷歌服務在中國無法正常運行。
解決辦法:
安裝名字叫做……disable google fonts
上一篇:如何管理已安裝的插件
下一篇:內容類型簡介
1. 帶 [親測] 說明源碼已經被站長親測過!
2. 下載後的源碼請在24小時內刪除,僅供學慣用途!
3. 分享目的僅供大家學習和交流,請不要用於商業用途!
4. 本站資源售價只是贊助,收取費用僅維持本站的日常運營所需!
5. 本站所有資源來源於站長上傳和網路,如有侵權請郵件聯繫站長!
6. 沒帶 [親測] 代表站長時間緊促,站長會保持每天更新 [親測] 源碼 !
7. 盜版ripro用戶購買ripro美化無擔保,若設置不成功/不生效我們不支持退款!
8. 本站提供的源碼、模板、插件等等其他資源,都不包含技術服務請大家諒解!
9. 如果你也有好源碼或者教程,可以到審核區發布,分享有金幣獎勵和額外收入!
10.如果您購買了某個產品,而我們還沒來得及更新,請聯繫站長或留言催更,謝謝理解 !
GG資源網 » WordPress兩個插件存在嚴重漏洞 或致32萬個網站受攻擊(在線編輯WordPress插件及常見問題)