Wordfence提醒,近日不法分子对 WordPress 网站发起了大规模攻击,试图通过一个易受攻击的插件进行接管,并且没有针对该漏洞的更新。攻击者利用 Kaswara Modern WPBakery Page Builder 插件中的漏洞。
该漏洞允许未经身份验证的攻击者上传恶意 PHP 文件并完全控制网站。该漏洞被命名为CVE-2021-24284,于去年 4 月公开。但是,该插件的开发人员从未发布过安全更新。因此,所有安装了该插件的 WordPress 网站仍然容易受到攻击。
据安全公司 Wordfence 称,有4000到8000个网站安装了该插件。这家安全公司最近发现攻击者试图在 160 万个 WordPress 网站上利用该漏洞。漏洞的影响以 1 到 10 的等级进行评估,评分为10级。
Wordfence提醒:由于没有可用的补丁程序,建议网站管理员卸载该扩展程序。
WordPress有很多的第三方插件与主题,其中大多数的开发者会一直维护更新,但有部分插件或主题则已经超过1年或数年未更新了,这种情况下网站是极其危险的。
本文中提到的这款有漏洞的插件已经被Envato下架。
此类安全问题并不是偶发事件,所以大家还是尽量使插件和主题保持在最新版本,另外定期卸载长时间不再更新的插件和主题(使用其它同类程序替代)。
