知名插件 WPML 前雇员向用户发邮件称其存在多个漏洞

昨天夜里WordPress平台多语言插件WPML的官方网站被黑,同时使用该插件的用户接到来自该网站的邮件。

该插件在60万个网站上安装因此无数站长收到群发的邮件,邮件声称WPML存在大量漏洞会导致网站被黑等。

匿名用户在邮件中写到:

你看到这份邮件是因为你的网站正在使用WPML插件,你可能已经购买或正准备购买该插件并部署到网站上。

我做了同样的事情但只是让我自己陷入困境,WPML插件带来无数荒谬的漏洞导致我的两个网站被黑客攻击。

知名网站插件WPML前雇员向用户群发邮件称其存在多个漏洞

WPML插件官网还被篡改:

除向用户群发邮件外WPML官网购买页对于功能的描述竟然还包含带来漏洞的选项,当然这个是被篡改后的。

WPML插件官方发布声明称这次攻击是该公司前雇员做的,这名雇员拥有服务器的SSH密码因此可篡改网站。

同时该公司也强调WPML插件不存在任何漏洞并且用户付款信息未被泄露,但用户账号密码可能遭到了窃取。

建议使用WPML插件的用户最好立即重置账号密码并开启两步验证,防止黑客在某个时间继续登录用户账号。

这名前雇员的目的到底是什么:

WPML官方并未解释与此雇员之间是否有纷争导致这次攻击,但可以确定的是至少暂时用户网站未受到威胁。

实际上这名前雇员除向用户发送邮件告知潜在的安全问题外,并没有作出对用户具有特别破坏性的恶意行为。

所以暂时不清楚漏洞到底是真实存在的还是这名雇员与WPML有纠纷而故意发送这些邮件破坏该插件的声誉。

但无论如何WPML安装在60万个网站上并间接影响数百万用户,所以网站管理员最好提高防御措施确保安全。

本文来源 BC,由 山外的鸭子哥 整理编辑,其版权均为 BC 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论