满身漏洞的 WordPress 被曝为其安装后门插件的新方法

栏目: IT资讯 · 发布时间: 6年前

内容简介:据外媒报道,黑客发现了一种在运行开源 CMS 系统 WordPress 的网站上安装后门插件的前所未有的方法,这个方法依赖于使用弱保护的 WordPress.com 帐户和 Jetpack 插件。 这个方法非常复杂,为了拿下一个网站,黑客...

满身漏洞的 WordPress 被曝为其安装后门插件的新方法

据外媒报道,黑客发现了一种在运行开源 CMS 系统 WordPress 的网站上安装后门插件的前所未有的方法,这个方法依赖于使用弱保护的 WordPress.com 帐户和 Jetpack 插件。

这个方法非常复杂,为了拿下一个网站,黑客必须经历不同的步骤,并且在此过程中,多件事情的出现就会导致攻击失败。尽管如此,据 WordPress 的报告,自 5 月 16 日后,依然出现不少被攻击的案例。

攻击步骤大致如下:

  1. 黑客从公开漏洞中获取用户名和密码,并尝试登录 WordPress.com 帐户,使用相同密码并且没启用双因子认证的用户特别容易受到攻击

  2. 黑客通过 Jetpack 安装后台插件,它是 WordPress 网站最受欢迎的插件之一。该插件的特点是能够将自主托管的 WordPress 网站连接到 WordPress.com 帐户

满身漏洞的 WordPress 被曝为其安装后门插件的新方法

Jetpack 提供的功能选项之一是可以从 WordPress.com Jetpack 仪表盘跨不同站点来安装插件。该插件甚至不必在官方的 WordPress.org 存储库中托管或隐藏,攻击者可以轻松上传带有恶意代码的 ZIP 文件,然后将其发送到每个站点。

安全专家称,攻击从 5 月 16 日开始,黑客部署了一个名为"pluginsamonsters"的插件,后来在 5 月 21 日切换到另一个名为"wpsmilepack"的插件。

目前受感染网站的数量未知,并且检测受感染网站也很困难。

建议开发者如果发现可疑插件,应立即更改其 WordPress.com 帐号密码,启用该帐号的双因子身份验证,并启动站点清理程序。


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

iPhone开发实战

iPhone开发实战

2009-10 / 69.00元

《iPhone开发实战》全面探讨了iPhone平台的两种编程方式——Web开发和SDK编程。全书结合示例对这两种编程方式的基本流程、基本原理和基本原则给出了详细而通俗的讲解。在Web开发方面,分别介绍了三个iPhone Web库,即WebKit、iUI和Canvas,并讨论了Web开发环境Dashcode,最后阐述Web应用程序的调试。在SDK开发方面,详细描述其各种组件和功能,包括Xcode、I......一起来看看 《iPhone开发实战》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具