行业新闻与博客

据安全研究人员称，数以百万计的 WordPress 网站正受到自动攻击的调查，以利用最近发现的插件漏洞。

Wordfence 本身为该平台生成了一个插件，它在 9月初披露了有关零日漏洞的消息。它影响文件管理器，顾名思义，该文件管理器是一个插件，可以帮助用户管理其 WordPress 网站上的文件。

该插件已安装在大约 700,000 个 WordPress 网站上，尽管 Wordfence 估计只有 37％（即 262,0000）仍在运行易受攻击的版本，但这并没有阻止攻击者对更多用户进行尝试。

“最近几天，针对此漏​​洞的攻击急剧增加。Wordfence 已记录到今天，即 2020年9月4日，对超过一百万个站点的攻击。那些仍在寻找不识别和利用文件管理器插件漏洞版本的僵尸程序仍在调查未使用此插件的站点，自此以来，我们已记录了针对 170 万个站点的攻击。 Wordfence 的 Ram Gall 解释说。

“尽管 Wordfence 保护着超过三百万个 WordPress 网站，但这仍然只是 WordPress 生态系统的一部分。因此，这些攻击的真实规模比我们能够记录的规模要大。”

该漏洞本身可能允许未经身份验证的远程用户执行命令并在目标站点上载恶意文件。因此，Gall 敦促用户通过安装插件的最新版本 v6.9 迅速修补此问题。

他补充说： “如果您没有积极使用该插件，请完全将其卸载。” “由于该插件在 wp-admin 仪表板内为用户提供了广泛的文件管理功能，因此建议您在不积极使用该插件的情况下将其卸载。”

本文由机器译制