之前有小伙伴的 WordPress 站点被黑,并且多个主题制作者提醒“应该是老版本的 WordPress 安全漏洞”问题,所以缙哥哥建议各位使用WordPress 的小伙伴尽快升级的5.1.1版本,尽管它目前没有中文版,但是有翻译包,不影响使用!
RIPS科技公司的 Simon Scannell 发现并报告了该漏洞。Scannell 发布了一篇文章,总结了未经身份验证的攻击者如何接管任何启用了评论的WordPress 网站:
攻击者可以通过欺骗目标博客的管理员访问攻击者设置的网站来接管任何启用了评论的 WordPress 网站。一旦受害管理员访问恶意网站,就会在后台针对目标 WordPress 博客运行跨站点请求伪造(CSRF)漏洞,而不会受到受害者的注意。CSRF漏洞利用了多个逻辑缺陷和清理错误,这些错误在组合时会导致远程执行代码和完整的站点接管。
上图为缙哥哥将WordPress升级到5.1.1版本,并将主题、插件、翻译均升级到最新版本。
由于WordPress默认启用了评论,因此攻击者可以使用默认设置在任何站点上利用此漏洞。自动更新已经推送了,但是建议禁用后台更新的管理员立即更新。此外,如果你还在使用其他版本,比如 4.9.x,也请升级到该版本的最新子版本!
还有,缙哥哥建议那些喜欢老版本PHP的小伙伴也尽快升级,因为WordPress 5.2版本貌似对PHP版本有新的要求。目前缙哥哥的博客使用PHP 7.2运行。
在2019年4月,我们将最低PHP版本要求提高到5.6,最低MySQL版本要求提高到5.5。
暂无评论内容