WordPress旧版漏洞已致使超过十万个网站被黑
开源内容管理系统WordPress在上月末时发布了v4.7.2版,WordPress官方称该版本已修复了三个高危漏洞。
该版本发布后已经有众多使用 WordPress 的站点进行了更新,但是仍然有大量的网站还未更新至最新版本。
而本次更新的重点其实并不是官方公布的三个高危漏洞,而是位于WordPress REST API接口中的高危漏洞。
WordPress官方在v4.7.2版发布7天后才正式公布REST API漏洞,其目的就是为了让用户先行更新最新版本。
WordPress官方称虽然及时公布可以保证用户的最大利益,但这次他们故意拖延是为了让数百万的网站更新。
就在WordPress官方公布这处漏洞后的48小时内网络上已经流传了多款针对REST API漏洞的自动攻击程序。
这些自动化攻击程序可以扫描网上尚未升级的WordPress网站,然后就可以远程修改网站上的文章页内容了。
值得注意的该漏洞仅只会影响到WordPress v4.7.0和v4.7.1版,但全球使用这两个版本的站点超过数千万个。
安全公司的统计数据显示目前全球已经有超过十万个站点因该漏洞遭到入侵,而这一数字仍然在高速增长中。
WordPress这款开源的内容管理程序在全球有超过6000万站点采用,因此随着时间推移必将大量网站被黑。
Google目前也开始启动了安全监测和通知工作,当Google检测到网站使用受影响的版本时会发出邮件通知。