2020年，剛剛開始WordPress博客系統(tǒng)被網(wǎng)站安全檢測出有插件繞過漏洞，該插件的開發(fā)公司，已升級了該插件并發(fā)布1.7版本，對以前爆出的漏洞進行了修補，該企業(yè)網(wǎng)站漏洞造成的原因是未經(jīng)許可身份認證的普通用戶給以了系統(tǒng)管理員權限。黑客能夠以網(wǎng)站管理員的身份進行登陸，并可以將wp企業(yè)網(wǎng)站的全部數(shù)據(jù)表信息恢復為以前的模式，進而上傳webshell企業(yè)網(wǎng)站木馬代碼來進行篡改企業(yè)網(wǎng)站。現(xiàn)階段受危害的版本包含最新的WP系統(tǒng)。

這個WP插件的主要功能是可以將網(wǎng)站的主題自定義的進行外觀設計，與導入代碼，讓很多新手不懂代碼設計的可以迅速的掌握該技巧對網(wǎng)站進行外觀設計，目前全球用該插件的人數(shù)達到二十五萬多企業(yè)網(wǎng)站在使用該插件，也是目前最受環(huán)境的插件。該網(wǎng)站漏洞影響的插件版本，是存在于1.5-1.6版本。根據(jù)目前WP官方的數(shù)據(jù)資料統(tǒng)計，使用該版本的用戶以及網(wǎng)站數(shù)量占比竟然達到百分之95左右，受漏洞影響的網(wǎng)站確實太多，建議各位站長盡快對該插件進行升級，修復漏洞。

該網(wǎng)站漏洞的利用方式以及條件，必須是該主題插件處于啟用狀態(tài)，并且是公司網(wǎng)站上都安裝了這個插件才會受到漏洞的攻擊，讓黑客有攻擊網(wǎng)站的機會。SINE安全技術在實際的漏洞利用測試過程中，也發(fā)現(xiàn)了一些問題，插件繞過漏洞的利用前提是需要有1個條件來進行，網(wǎng)站的數(shù)據(jù)庫表中的普通用戶必須有admin賬戶存在，目前的網(wǎng)站安全解決方案是盡快升級該插件到最新版本，有些企業(yè)網(wǎng)站不知道該如何升級的，先將改插件在后臺關閉掉，防止黑客的入侵。

針對該插件漏洞的修復辦法，可以在成都wdcp_init”的Hook在網(wǎng)站環(huán)境中運行，而且還可啟用無需通過身份認證的普通用戶的成都/wp-wdcp/wdcp-ajax.tp框架”。缺少身份認證就使漏洞沒有利用的機會了。假如數(shù)據(jù)表中存有成都wdcp”普通用戶，未經(jīng)許可身份認證的黑客機會會應用此賬號登陸，并刪掉全部以已定義的數(shù)據(jù)表前綴打頭的。可以將該用戶刪除掉，以防止網(wǎng)站被攻擊。

只要刪掉了全部表，它將應用高級設置和數(shù)據(jù)信息添充數(shù)據(jù)表，隨后將成都wdcp”普通用戶的密碼修改為其此前已經(jīng)知道的登陸密碼。某安全組織于2月6號檢測到了該網(wǎng)站插件繞過漏洞，在同一天將其安全報告給插件的開發(fā)公司。十天之后，也就是上個星期，主題Grill插件公司，發(fā)布了修復該網(wǎng)站漏洞的新版本。

在編寫這篇文章時，修補后的插件，最新版本下載數(shù)量達到二十多萬，這說明應用還有很多企業(yè)網(wǎng)站沒有修復漏洞，仍然處在被攻擊的風險當中。針對于WP官方的數(shù)據(jù)安全中心發(fā)布的安全報告中顯示的兩個網(wǎng)站漏洞，當黑客利用這些網(wǎng)站漏洞時，都是會造成和本次安全事件一樣的影響。建議使用該插件的wordpress公司網(wǎng)站盡快升級，修復漏洞，以免對網(wǎng)站對公司產(chǎn)生更大的經(jīng)濟損失以及影響。

在其中1個CVE-2020-7048準許未經(jīng)許可身份認證的普通用戶從其他數(shù)據(jù)表中重置表，而另外一個CVE-2020-7047則是賦予最低管理權限的賬號網(wǎng)站管理員管理權限。如果您對網(wǎng)站代碼不是太了解，不知道該如何修復wordpress的漏洞，或者是您網(wǎng)站使用的是wp系統(tǒng)開發(fā)的，被黑客攻擊篡改數(shù)據(jù)，也可以找專業(yè)的網(wǎng)站安全公司來處理解決。

分享題目：WordPress最新版本網(wǎng)站漏洞修復探討
網(wǎng)頁鏈接：http://m.2m8n56k.cn/news/36462.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供關鍵詞優(yōu)化、企業(yè)建站、商城網(wǎng)站、小程序開發(fā)、全網(wǎng)營銷推廣、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)