wordpress 最初一款個人部落格系統,由于簡單易用便逐漸發展成了内容管理系統,深受廣大人民喜愛。
幾天前,不少網站管理者發現自己的 wordpress 自動更新到了最新的 4.7.2 版本,正當許多人疑惑不解時,2月2日,安全公司 sucuri 曝出 4.7 和 4.7.1 版本 wordpress 的 rest api (一種接口規範)存在零日漏洞,攻擊者利用該漏洞可以任意修改網站内容。
sucuri 方面表示,修改 wordpress 網站内容時會産生一個修改資料包,攻擊者通過 rest api 的構造資料包内容,将 url 進行簡單修改就可以繞過賬号驗證直接檢視網站内容。此外還可以在未經身份驗證的情況下任意增删改查文章、頁面及其他内容。
據雷鋒網了解,存在問題的 rest api 自 wordpress 4.7 版本以來就被預設開啟,是以所有使用 4.7 或 4.7.1 版本 wordpress 的網站都将受到影響。這個漏洞影響範圍有多廣呢?據有關資料統計,全球至少有1800萬個網站在使用 wordpress,在排名前一萬的網站中,大約有26%的網站都在使用,相當于四個網站裡就有一個在用,其普遍程度可想而知。
雖然至發文時,wordpress 的開發團隊已經在最近推出的 4.7.2 版本更新中修補該漏洞,但可能仍有相當一部分網站沒有開啟自動更新,考慮到 wordpress 的使用者甚多,受影響的網站數量依然不容小觑。
為了防止漏洞被濫用,sucuri 方面沒有提供此漏洞的詳盡技術細節,但其在博文中寫道:
這一嚴重漏洞,使得攻擊者可以利用多種不同的方法來搞定網站。如果網站安裝了某個插件,可能導緻rce(遠端指令執行)。總之大家趕緊更新就對了!
雷鋒網在此建議廣大使用 wordpress 的網站管理者及個人部落客,盡快更新到最新的4.7.2版本,否則很可能當你某一天醒過來時發現自己的網站已經被垃圾消息、賭博、色情廣告等不良資訊占據。