11.11云上盛惠!海量产品 · 轻松上云!云服务器首年1.8折起,买1年送3个月!超值优惠,性能稳定,让您的云端之旅更加畅享。快来腾讯云选购吧!
数千个使用WordPress内容管理系统的网站遭到黑客攻击。该攻击者利用了名为tagDivComposer的热门插件中的一个最近修补的漏洞,向网页注入恶意代码。除删除添加的恶意脚本外有必要检查后门代码和任何管理员账户的添加情况。
由于+WordPress+的“高级自定义字段”插件中的一个漏洞导致超过200万用户面临网络攻击的风险。据theregister报道,Patchstack+研究员+Rafie+Muhammad+警告称,+Advanced+Custom+Fields+和+Advanced+Custom+Fields+Pro+版本的活跃安装量超过200万,这些插件用于让网站运营商更好地控制他们的内容和数据,例如编辑屏幕和自定义字段数据。XSS也只能由有权访问高级自定义字段插件的登录用户触发。
PHP Everywhere 是一个开源的 WordPress 插件,近日该插件被披露存在三个严重的安全漏洞,该插件已被全球超过3万个网站使用,攻击者可在受影响的网站上利用该漏洞,执行任意代码...如果网站存在这三个漏洞,黑客将可以利用它们并执行恶意的 PHP 代码,甚至可以实现对网站的完全接管...WordPress 安全公司 Wordfence 在1月4日就向该插件的作者 Alexander Fuchs 披露了上述这些漏洞,随后在1月12日发布了3.0.0版本的更新中,已完全删除了有漏洞的代码......
Bleeping Computer 报道称:安全研究人员在 WordPress 的“PHP Everywhere”插件中发现了三个严重的远程代码执行(RCE)漏洞,导致全球超过 3 万个使用该插件的网站都受到了影响。据悉,该插件旨在方便管理员在页面、帖子、侧边栏、或任何 Gutenberg 块中插入 PHP 代码,并借此来显示基于评估的 PHP 表达式的动态内容。Wordfence 安全分析师指出,CVSS v3 评分高达 9.9 的这三个漏洞,可被贡献着或订阅者所利用,且波及 2.0.3 及以下的所有 WordPress 版本。 首先是 CVE-2022-24663: 只需发送带有‘短代码’参数设置的 PHP Everywhere 请
去年安全分析人员发现可利用的WordPress插件漏洞的数量爆炸性增长。来自RiskBased Security的研究人员报告说,他们发现在2021年,WordPress插件漏洞的数量增加了三位数。据报道,在2021年底,有10359个漏洞影响第三方WordPress插件,其中,2240个漏洞是在去年披露的,与2020年相比,漏洞数量增加了142%。更糟糕的是,在这些额外的WordPress插件漏洞中,超过四分之三(77%)是已知的、公开的漏洞。报告发现,有7592个WordPress漏洞?
根据网站安全公司 Patchstack(前身为 WebARX)的一份新报告,2020年有超过580个 WordPress 漏洞被披露,但其中绝大部分影响到第三方插件和主题,而不是 WordPress 核心。
根据Wordfence网络防火墙背后的公司Defiant消息,上周数以百万计的WordPress网站遭到了探测和攻击。目前尚不清楚黑客是如何发现零日漏洞的,但从上周早些时候开始,他们开始搜索可能安装该插件的网站。
由于WordPress有着大量的用户,也就成为攻击者的目标。据报道,今年 2 月份以来,针对WordPress网站的攻击越来越频繁。几家专门从事WordPress安全产品的网络安全公司,如Wordfence、WebARX和NinTechNet,已经报道了对WordPress站点的攻击数量不断增加。
使用ThemeGrill提供的商业主题的WordPress站点用户注意了,建议大家赶紧更新与这些主题一起安装的一个插件,以便修补一个允许攻击者清除网站的关键漏洞。
WordPress的两个插件 InfiniteWP Client和 WP Time Capsule被曝出现严重的安全漏洞,估计有 32 万个网站容易被利用攻击。
Wordfence的最新研究称,有攻击者从上个月开始使用流氓管理员帐户对WordPress网站发起攻击,目前攻击仍在继续。
攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞,以入侵托管站点,影响站点数量众多。前几天我们才报导过流量排名前一千万网站,三分之一使用 WordPress,这么广泛的采用,一旦其中有安全漏洞被利用,影响会相当广。
快去升级你的WordPress,否则可能被挂上羞羞的广告。
WordPress是大多数站长用的发布平台,大多数时候,常见WordPress插件漏洞,这次WordPress SQL注入漏洞(CVE-2015-5623、CVE-2015-2213)为其核心功能出现SQL注入,足以导致别人用你的blog发文章。
近日,Wordpress新版本发布了。据悉,Wordpress 4.2.3版本修复了旧版中存在的高危XSS(Cross-Site Scripting)漏洞,黑客可利用该漏洞入侵网站,数百万站点存在安全隐患。
这篇文章是对一个WordPress插件注入漏洞研究的分析、实验和思考的记录。
WordPress官方在4月21日发布了新的版本4.1.2,其中提到修复了一个严重的存储型XSS漏洞。不久之后便有人给出了漏洞的细节。
近日,Wordpress发布官博表示正式发布Wordpress 4.1.2版本,且将此版本标榜为“重大安全发布”,并呼吁用户“务必尽快升级”。
据外媒消息称,近日黑客利用WordPress统计分析插件WP SlimStat的安全漏洞对大量Wordpress网站发起攻击。据统计数据显示,目前已有超过100万Wordpress网站受到牵连。
近日,在4.0版本以下的Wordpress被发现存在跨站脚本漏洞(XSS),新版本的Wordpress已经修复了这些问题。为了安全起见,建议站长们尽早更新到WP新版本。
7月初,据安全公司Sucuri研究报告显示,下载量超过170万次的WordPress插件MailPoet被曝存在安全隐患,可能导致网站更容易被黑客劫持,据其表示,被黑网站仍在增多!
近日,360网站安全检测平台WebScan发布紧急安全警告:知名博客引擎WordPress多个插件存在SQL注入或跨站脚本执行漏洞,攻击者借此可以窃取网站核心数据,甚至利用这些网站实施钓鱼挂马攻击。经360网站安全检测对第三方应用识别引擎的分析研究,WordPress占第三方可识别应用总数的39.5%,大量网站处于危险中。
数十万WordPress用户目前似乎正遭受图像处理脚本Timthumb的威胁,这是一个相当受欢迎的第三方脚本。这样的欺骗性二三级域名也会被通过,所以黑客理论上可以用任何域名后缀轻松仿冒,并通过缓存目录上传各种恶意程序。
据WordPress官方声明,WordPress 3.1.2 版本已经发布,这是针对先前所有版本的一次安全更新。主要修复了允许“贡献者”身份级别的用户可不当发布日志的安全漏洞,同时修复一些小bug。
WordPress 3.1 beta 1刚发布几天,WordPress就爆出了安全漏洞。WordPress官方紧急发布了WordPress 3.0.2,在后台可以看到升级提示。最关键的是,这个安全漏洞影响到了WordPress之前发布的所有版本的WordPress。
2009年10月21日,WordPress 2.8.5正式发布,今天,2009年11月13日,WordPress 2.8.6发布。还不到一个月,WordPress又发布一个版本更新,这样的更新速度着实让人受不了。
虽然WordPress开发人员已经在完善WordPress 2.9的功能,但是随着WordPress的流行,越来越多的朋友开始关注WordPress,于是,WordPress的安全问题也日益被暴露出来。
据国外媒体报道,美国知名科技作者罗伯特斯考伯(RobertScoble)周六表示,他所创建的科技博客网站Scobleizer此前遭到了黑客入侵,且约有两个月时间内所发布博文已被删除。
据国外媒体报道,美国知名科技博客作者罗伯特斯考伯(RobertScoble)周六表示,他所创建的科技博客网站Scobleizer此前遭到了黑客入侵,且约有两个月时间内所发布博文已被删除。斯考伯表示,之所以会发生黑客入侵事件,是因为他当时仍在使用存在漏洞、版本较老的博客内容
Wordpress官方此前在WordPress trac上发布了一个修复WordPress 2.8.x漏洞的信息Changeset 11798,攻击者可以通过一个特定的网址绕过安全检查,验证用户并且重设密码。