WordPress最新版本網站漏洞修復探討_建站經驗

作者 : 小麺兄 本文共1309個字,預計閱讀時間需要4分鐘 發布時間: 2020-08-10 共504人閱讀

2020年,剛剛開始WordPress博客系統被網站安全檢測出有插件繞過漏洞,該插件的開發公司,已升級了該插件并發布1.7版本,對以前爆出的漏洞進行了修補,該企業網站漏洞造成的原因是未經許可身份認證的普通用戶給以了系統管理員權限。黑客能夠以網站管理員的身份進行登陸,并可以將wp企業網站的全部數據表信息恢復為以前的模式,進而上傳webshell企業網站木馬代碼來進行篡改企業網站?,F階段受危害的版本包含最新的WP系統。

這個WP插件的主要功能是可以將網站的主題自定義的進行外觀設計,與導入代碼,讓很多新手不懂代碼設計的可以迅速的掌握該技巧對網站進行外觀設計,目前全球用該插件的人數達到二十五萬多企業網站在使用該插件,也是目前最受環境的插件。該網站漏洞影響的插件版本,是存在于1.5-1.6版本。根據目前WP官方的數據資料統計,使用該版本的用戶以及網站數量占比竟然達到百分之95左右,受漏洞影響的網站確實太多,建議各位站長盡快對該插件進行升級,修復漏洞。

該網站漏洞的利用方式以及條件,必須是該主題插件處于啟用狀態,并且是公司網站上都安裝了這個插件才會受到漏洞的攻擊,讓黑客有攻擊網站的機會。SINE安全技術在實際的漏洞利用測試過程中,也發現了一些問題,插件繞過漏洞的利用前提是需要有1個條件來進行,網站的數據庫表中的普通用戶必須有admin賬戶存在,目前的網站安全解決方案是盡快升級該插件到最新版本,有些企業網站不知道該如何升級的,先將改插件在后臺關閉掉,防止黑客的入侵。

針對該插件漏洞的修復辦法,可以在“wdcp_init”的Hook在網站環境中運行,而且還可啟用無需通過身份認證的普通用戶的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份認證就使漏洞沒有利用的機會了。假如數據表中存有“wdcp”普通用戶,未經許可身份認證的黑客機會會應用此賬號登陸,并刪掉全部以已定義的數據表前綴打頭的??梢詫⒃撚脩魟h除掉,以防止網站被攻擊。

只要刪掉了全部表,它將應用高級設置和數據信息添充數據表,隨后將“wdcp”普通用戶的密碼修改為其此前已經知道的登陸密碼。某安全組織于2月6號檢測到了該網站插件繞過漏洞,在同一天將其安全報告給插件的開發公司。十天之后,也就是上個星期,主題Grill插件公司,發布了修復該網站漏洞的新版本。

在編寫這篇文章時,修補后的插件,最新版本下載數量達到二十多萬,這說明應用還有很多企業網站沒有修復漏洞,仍然處在被攻擊的風險當中。針對于WP官方的數據安全中心發布的安全報告中顯示的兩個網站漏洞,當黑客利用這些網站漏洞時,都是會造成和本次安全事件一樣的影響。建議使用該插件的wordpress公司網站盡快升級,修復漏洞,以免對網站對公司產生更大的經濟損失以及影響。

在其中1個CVE-2020-7048準許未經許可身份認證的普通用戶從其他數據表中重置表,而另外一個CVE-2020-7047則是賦予最低管理權限的賬號網站管理員管理權限。如果您對網站代碼不是太了解,不知道該如何修復wordpress的漏洞,或者是您網站使用的是wp系統開發的,被黑客攻擊篡改數據,也可以找專業的網站安全公司來處理解決。

本站資源特別聲明

①?即日起下載本站資源,不會搭建的可聯系站長免費指導。
②?所有源碼盡量保證原汁原味,如有特殊情況會作出聲明及標注。
③?網站資源不做任何二次加密和授權后門(原版加密除外,不影響程序使用的不會做解密處理),方便您更好的學習參考。
④?在您的能力范圍內,為了大環境的良性發展,請盡可能的選擇正版資源。
⑤?不反對搬運本站資源,歡迎各類站點、資源站、QQ群、個人組織搬運本站資源,網站承諾不設置任何后門。


越陌科技 » WordPress最新版本網站漏洞修復探討_建站經驗

發表評論

售后服務:

  • 售后服務范圍 1、商業模板使用范圍內問題免費咨詢
    2、源碼安裝、模板安裝(一般 ¥50-300)服務答疑僅限SVIP用戶
    3、單價超過200元的模板免費一次安裝,需提供服務器信息。
    付費增值服務 1、提供dedecms模板、WordPress主題、discuz模板優化等服務請詳詢在線客服
    2、承接 WordPress、DedeCMS、Discuz 等系統建站、仿站、開發、定制等服務
    3、服務器環境配置(一般 ¥50-300)
    4、網站中毒處理(需額外付費,500元/次/質保三個月)
    售后服務時間 周一至周日(法定節假日除外) 9:00-23:00
    免責聲明 本站所提供的模板(主題/插件)等資源僅供學習交流,若使用商業用途,請購買正版授權,否則產生的一切后果將由下載用戶自行承擔,有部分資源為網上收集或仿制而來,若模板侵犯了您的合法權益,請來信通知我們(Email: 570830288@qq.com),我們會及時刪除,給您帶來的不便,我們深表歉意!

Hi, 如果你對這款模板有疑問,可以跟我聯系哦!

聯系作者

提供最優質的資源集合

立即查看 了解詳情
開通SVIP 享更多特權,建議使用 QQ 登錄
喜歡我嘛?喜歡就按“ctrl+D”收藏我吧!?
欧美黄色视频 - 视频 - 在线观看 - 电影影院 - 品赏网