WordPress自动更新漏洞:超14网站可被黑客一举击溃


本文整理自网络,侵删。

Wordfence最新漏洞造成大部分的网站被黑,Wordfence最近披露了某个影响范围很广的安全问题,大量WordPress网站都受到影响。这个漏洞利用的是WordPress的自动更新功能,此功能默认是开启的,又因为整个互联网上大约有27%的站点都采用WordPress,所以Wordfence宣称,整个web世界有27%的网站都可能因此被黑。

简单说就是利用WordPress更新服务器的弱点,控制该服务器,自然也就能够同时对所有采用WordPress的网站完成入侵了。

一击黑入全球1/4的网站

在WordPress生态中,api.wordpress.org服务器的重要功能在于,为WordPress站点发布自动更新。各WordPress站点,每隔1个小时就会向该服务器发起请求,检查插件、主题和WordPress核心更新。

api.wordpress.org服务器的响应就包括了WordPress各部分是否需要自动更新,响应中也包含下载和安装更新软件的URL地址。

于是,只要搞定了这台服务器,黑客也就能够让所有的WordPress站点自动从他们自己的URL下载和安全恶意程序了。也就是说,攻击者通过api.wordpress.org的自动更新机制,就能大规模黑入大量WordPress站点。

整个过程实际上是完全可行的,因为WordPress本身并不提供软件的签名验证。它信任api.wordpress.org提供的任意URL地址和包。WordPress文档中有提到:默认情况下,每个站点都会开启自动更新功能,接收核心文件更新。

按照Wordfence的说法,黑客只需要针对api.wordpress.org一击,就能让全球超过1/4的网站感染恶意程序。

api.wordpress.org漏洞技术细节

这个更新服务器有个GitHub webhook,它能够让WordPress核心开发者将代码同步到wordpress.org SVN库,也就能够将GitHub作为其源代码库了。这样一来,核心开发者只要在GitHub提交更改,就会触发api.wordpress.org的一个进程,也就能方便得从GitHub获得最新代码。

这里api.wordpress.org联系GitHub的URL也就是所谓的“webhook”,这东西是用PHP写的。此webhook的PHP是开源的,点击这里就能获取。

阅读剩余部分

相关阅读 >>

wpf使用fontawesome字体图标

详解xampp和wordpress在centos7上的搭建与使用

wordpress分类描述支持显示图片的功能实现方法

php版本升级到7.x后wordpress的一些修改及wordpress技巧

wordpress强大的网站建设cformsii留言板插件

wordpress中给媒体文件添加分类和标签的php功能实现

crayon syntax highlighter代码高亮插件与fancybox图片暗箱冲突的解决方法

wordpress 添加meta box的方法

讲解wordpress开发中一些常用的debug技巧

wordpress实现单篇文章分页显示的方法

更多相关阅读请进入《wordpress》频道 >>



打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,您说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

评论

管理员已关闭评论功能...

    正在狠努力加载,请稍候...