当前位置: > >已有超过10万个未更新的WordPress网站遭受攻击

已有超过10万个未更新的WordPress网站遭受攻击

02-19,IT资讯已有超过10万个未更新的WordPress网站遭受攻击最新消息报导,口袋科技网(http://www.juren5.com)IT资讯

还记得WordPress在两周前释出了WordPress 4.7.2并修补3个安全漏洞吗?该版本其实还修补了一个涉及未经验证之权限扩张的重大漏洞,允许骇客自远端存取、编辑或删除WordPress的网页,而今,资安业者Sucuri发现,已有超过6万个WordPress网站因该漏洞而遭到攻击,但至截稿为止,数量已超过10万个。

当WordPress在1月26日释出WordPress 4.7.2时,公告写着修补了3个漏洞,分别是跨站指令码(Cross-site Scripting,XSS)漏洞、资料隐码(SQL injection)漏洞与Post List Table漏洞。

但在一周后的2月1日,WordPress补充说明WordPress 4.7.2其实还修补了另一个重大的安全漏洞,这是一个藏匿在REST API中的未经验证权限扩张漏洞,但仅影响WordPress 4.7与WordPress 4.7.1。WordPress表示,虽然透明化可维护大众的最大利益,但这次他们故意延后一周发布该漏洞讯息是希望腾出一些时间以让数百万的WordPress网站来得及更新。

向WordPress揭露此一漏洞的Sucuri则说,就在WordPress公布漏洞的48小时内,网路上便已出现多款攻击程式,尝试侦测网路上尚未升级的WordPress网站,并自远端修改这些网站的内容,而且迄今至少出现了4组骇客人马,代号分别是w4l3XzY3、Cyb3r-Shia、By+NeT.Defacer,以及 By+Hawleri_hacker。

其中,蔓延最迅速的是w4l3XzY3,若在Google上以by w4l3XzY3进行关键字搜寻,可看到已有至少6.7万个WordPress网站遭到攻击。

不过,截稿为止,如下图所示,再以Google搜寻检视,被恐击的网站数量已增至11.9万个。

WordPress为全球最受欢迎的开放源码内容管理系统,估计全球有超过6000万个网站採用WordPress。WordPress平台的预设值为自动更新,因此受到攻击的网站都是变更了该预设值,不只是资安业者,连Google近日都已寄出邮件督促WordPress旧版用户展开升级。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >