WordPress代码最新网站漏洞修复探讨

简介: 2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经许可身份认证的普通用户给以了系统管理员权限。黑客能够以网站管理员的身份进行登陆,并可以将wp企业网站的全部数据表信息恢复为以前的模式,进而上传webshell企业网站木马代码来进行篡改企业网站。现阶段受危害的版本包含最新的WP系统。

2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经许可身份认证的普通用户给以了系统管理员权限。黑客能够以网站管理员的身份进行登陆,并可以将wp企业网站的全部数据表信息恢复为以前的模式,进而上传webshell企业网站木马代码来进行篡改企业网站。现阶段受危害的版本包含最新的WP系统。

11385343fbf2b211e52a94ecb5aa2e3e0cd78e38.jpeg

这个WP插件的主要功能是可以将网站的主题自定义的进行外观设计,与导入代码,让很多新手不懂代码设计的可以迅速地掌握该技巧对网站进行外观设计,目前全球用该插件的人数达到二十五万多企业网站在使用该插件,也是目前最受环境的插件。该网站漏洞影响的插件版本,是存在于1.5-1.6版本。根据目前WP官方的数据资料统计,使用该版本的用户以及网站数量占比竟然达到百分之95左右,受漏洞影响的网站确实太多,建议各位站长尽快对该插件进行升级,修复漏洞。


该网站漏洞的利用方式以及条件,必须是该主题插件处于启用状态,并且是公司网站上都安装了这个插件才会受到漏洞的攻击,让黑客有攻击网站的机会。SINE安全技术在实际的漏洞利用测试过程中,也发现了一些问题,插件绕过漏洞的利用前提是需要有1个条件来进行,网站的数据库表中的普通用户必须有admin账户存在,目前的网站安全解决方案是尽快升级该插件到最新版本,有些企业网站不知道该如何升级的,先将改插件在后台关闭掉,防止黑客的入侵。


9345d688d43f879430fcb9b0ff5345f21ad53aff.jpeg


针对该插件漏洞的修复办法,可以在“wdcp_init”的Hook在网站环境中运行,而且还可启用无需通过身份认证的普通用户的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份认证就使漏洞没有利用的机会了。假如数据表中存有“wdcp”普通用户,未经许可身份认证的黑客机会会应用此账号登陆,并删掉全部以已定义的数据表前缀打头的。可以将该用户删除掉,以防止网站被攻击。


只要删掉了全部表,它将应用高级设置和数据信息填充数据表,随后将“wdcp”普通用户的密码修改为其此前已经知道的登录密码。某安全组织与2月6号检测到了该网站插件绕过漏洞,在同一天将其安全报告给插件的开发公司。十天之后,也就是上个星期,主题Grill插件公司,发布了修复该网站漏洞的新版本。


810a19d8bc3eb1355a1a4ee68856e3d5fc1f4458.jpeg


在编写这篇文章时,修补后的插件,最新版本下载数量达到二十多万,这说明应用还有很多企业网站没有修复漏洞,仍然处在被攻击的风险当中。针对于WP官方的数据安全中心发布的安全报告中显示的两个网站漏洞,当黑客利用这些网站漏洞时,都是会造成和本次安全事件一样的影响。建议使用该插件的wordpress公司网站尽快升级,修复漏洞,以免对网站对公司产生更大的经济损失以及影响。


在其中1个CVE-2020-7048准许未经许可身份认证的普通用户从其他数据表中重置表,而另外一个CVE-2020-7047则是赋予最低管理权限的账号网站管理员管理权限。如果您对网站代码不是太了解,不知道该如何修复wordpress的漏洞,或者是您网站使用的是wp系统开发的,被黑客攻击篡改数据,也可以找专业的网站安全公司来处理解决。


相关文章
|
4月前
【wordpress教程】wordpress博客网站添加非法关键词拦截
有的网站经常被恶意搜索,站长们不胜其烦。那我们如何屏蔽恶意搜索关键词呢?下面就随小编一起来解决这个问题吧。
72 1
|
20天前
|
XML 搜索推荐 机器人
五个 WordPress 插件可提高网站参与度
五个 WordPress 插件可提高网站参与度
|
20天前
|
缓存 弹性计算 应用服务中间件
如何使用 Wordpress?托管, 网站, 插件, 缓存
如何使用 Wordpress?托管, 网站, 插件, 缓存
|
25天前
|
关系型数据库 MySQL 数据库连接
如何处理WordPress网站提示“建立数据库连接时出错”
如何处理WordPress网站提示“建立数据库连接时出错”
|
15天前
|
弹性计算 关系型数据库 MySQL
CentOS 7.x操作系统的ECS云服务器上搭建WordPress网站
CentOS 7.x操作系统的ECS云服务器上搭建WordPress网站
|
24天前
|
弹性计算 监控 安全
利用WordPress 模板建站,如果利用阿里云国际版获取网站高流量
利用WordPress 模板建站,如果利用阿里云国际版获取网站高流量
|
4月前
|
弹性计算 关系型数据库 MySQL
使用资源编排 ROS 轻松部署单点网站——以 WordPress 为例
WordPress 是流行的开源CMS,阿里云的ROS(Resource Orchestration Service)提供模板化部署服务,简化云上环境如VPC、ECS、MySQL的创建。用户可通过ROS控制台选择模板一键部署WordPress,配置包括实例区、类型、系统盘及密码等参数。ROS模板定义了资源、参数和输出,自动处理依赖关系,实现云资源和应用的自动化部署。通过ROS,用户可以高效管理和更新整个资源栈,实现快速、可靠的云服务部署。
216 1
使用资源编排 ROS 轻松部署单点网站——以 WordPress 为例
|
4月前
|
弹性计算 负载均衡 关系型数据库
使用资源编排 ROS 轻松部署高可用架构网站——以 WordPress 为例
WordPress 是流行的开源 CMS,阿里云的资源编排服务 (ROS) 提供 IaC 功能,简化云上资源自动化部署,如创建 VPC、ECS、SLB、RDS 和弹性伸缩等。通过 ROS 模板(JSON/YAML),用户能快速部署高可用的 WordPress 环境,包括负载均衡、多可用区的 ECS 服务器集群、高可用 RDS 数据库等。模板定义了资源、参数和输出,用户在 ROS 控制台配置参数后一键部署。ROS 提升了部署效率,便于跨地域复制相同架构。
112 0
使用资源编排 ROS 轻松部署高可用架构网站——以 WordPress 为例
|
4月前
|
搜索推荐
wordpress网站添加一个临时维护功能
wordpress网站添加一个临时维护功能
51 3
|
4月前
|
PHP 数据安全/隐私保护
WordPress网站添加输入密码才能访问功能
为你的网站添加 php 输入密码访问网站功能,这个功能其实很简单,在应用中的场景也是往往为内部或是个人使用的页面里面,在登陆的时候可以弹出一个窗口,做隐私保护,以下的代码可以满足大家的这个功能,同时可以在代码里自定义密码。同时只要在现有代码的上下添加好加密的代码就可以。记得要调整一下默认密码。不然会被入侵的。
51 0