首页 > 见闻 > 关键词  > WordPress最新资讯  > 正文

WordPress插件出现漏洞,数百万网站遭探测和攻击

2020-09-07 11:49 · 稿源:站长之家

站长之家(ChinaZ.com) 9月7日 消息:根据Wordfence网络防火墙背后的公司Defiant消息,上周数以百万计的WordPress网站遭到了探测和攻击。

站长之家了解到,黑客发现并开始利用“File Manager”中的一个零日漏洞后,攻击突然激增。“File Manager”是一个安装在 70 多万个站点上的流行WordPress插件

而该零日漏洞是一个未经身份验证的文件上传漏洞,它允许攻击者将恶意文件上传到运行较旧版本“File Manager”插件的站点上。

病毒,黑客,攻击

目前尚不清楚黑客是如何发现插件的零日漏洞,但从上周早些时候开始,他们开始搜索可能安装该插件的网站。

一旦探测到,攻击者将利用零日,在受害者的服务器上上传一个伪装在图像文件中的web shell。然后,攻击者将访问web shell并控制受害者的站点。

(站长之家注:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。)

“过去几天来,针对这一漏洞的攻击急剧增加,”Defiant的威胁分析师Ram Gall表示。

攻击开始缓慢,但在过去一周不断加强,仅仅在 9 月 4 日, Defiant 就记录了对 100 万个WordPress站点攻击记录。

Gall表示,自 9 月 1 日第一次发现攻击以来,Defiant总共阻止了对 170 多万个网站的攻击。

170 万这个数字超过了使用Wordfence网络防火墙网站数量的一半。Gall认为,攻击的真正规模甚至更大,因为WordPress被安装在数以亿计的网站上,所有这些网站都可能逐渐被探测和攻击。

好消息是,File Manager开发团队在发现攻击的同一天发布了一个补丁,一些网站所有者已经安装了补丁。

最近,WordPress开发团队为WordPress主题和插件添加了一个自动更新功能。

从上个月发布的WordPress 5. 5 开始,网站所有者可以配置插件和主题,以便在每次有新更新发布时自动更新自己,并确保他们的网站始终运行主题或插件的最新版本,以确保安全不受攻击。

  • 相关推荐
  • 大家在看
  • WordPress建站用哪个主机好?GoDaddy主机评测推荐

    虚拟主机服务在国内外已经有超过20 多年历史了,是一个相对比较成熟的行业,市场上有成百上千家公司提供虚拟主机租赁服务。也正因为如此,这个行业竞争非常激烈。虚拟主机服务的价格从1 美元到上百美金每月不等都有,服务质量也是参差不齐,有些虚拟主机三天两头出问题,不是速度慢就打不开。这两年建站,除了用户有特别要求外,基本上都是使用WordPresss程序建站,不仅功能强大、扩展性强、安全性高,而且安装简单、使用方便。选?

  • Windows 11下的画图变了:有点Word内味儿

    计算器、记事本、画图都是Windows多年来经典的应用,但常年本色不变,直到进入Windows 10时代才在界面、功能上逐步现代化。现在,Windows 11下的不少经典系统组件也迎来新的升级,包括画图。事实上,微软一度计划淘汰经典画图程序,不再内置,改而推广画图3D,希望契合3D内容创作趋势。但经典怎么能轻易丢掉?在用户的呼声下,画图还是保留了下来,还焕发了新生。新的画图调整了界面设计,菜单和功能栏更有点Word的味道,比如顶部?

  • 知网查重这么贵,论文查重怎么利用paperpass省钱

    盘点真正靠谱的能当作知网检测平替的论文查重网站,小编在把市面上所有有姓名的论文查重网站统统实验了一遍(包括但不仅限于paperpass、超星、维普等等),以一篇 8000 字左右的论文作为检测样本,总结出来的满满干货,帮助同学论文查重路上避坑!开头先明确一个概念,初稿检测和定稿检查是需要区别来看的。初稿检测标准相对来说,只要求安全度高,其他都是同学自行附加的条件,定稿检查是学校要求的网站,一般学校会直接提供给学?

  • PaperPass论文查重网,凭什么成为大学生毕业首选

    论文查重是每个大学生都不会陌生的一件事,毕业论文的重要性和特殊性不必多说,查重系统不仅是为了杜绝抄袭、代写、剽窃等学术不端的现象,更能保护原创度。对于同学而言,使用查重网前,有所了解才能事半功倍,弯路,以代表性的“市场常用”PaperPass查重和“院校惯用”知网检测为例。一、安全是检测的基准线论文查重的基本流程的区别不大,有的学校提供一次免费查重的机会,有的学校不提供,但是对于每一个有论文写作需求的同学?

  • 传索尼版Game Pass订阅服务明春落地

    致命知名舅舅Jason Schreier表示,索尼正在评估代号斯巴达克斯(Spartacus)”的一揽子PlayStation订阅计划,整合了现有的PlayStation Plus与PlayStation Now,将其分为三种规格。初级订阅与现有PlayStation Plus的待遇大体一致;中级订阅可使玩家接触到海量PS4游戏,以及(非首发)PS5游戏;高级订阅包含现有的PlayStation Now云游戏功能,并为玩家提供大量经典PS1/2、PSP游戏,目标用户瞄准骨灰级PS玩家,提供差异性订阅服务。随

  • 浪漫星空坠入腕间,得物App独家首发GUESS盖尔斯腕表新品

    近日,时尚品牌GUESS盖尔斯梦幻星空腕表新品在得物App独家首发,为年轻消费者带来专属腕间浪漫。此次在得物App独家首发的梦幻星空手表,在外观上,36mm的纤巧表盘贴合亚洲女性的腕间设计,表盘融入了梦幻星空蓝的水晶材质,将浪漫星空描绘方寸间;搭配黑色小牛皮表带,让整款腕表柔韧舒适,佩戴感极佳。内置石英机芯,性能稳定、准确度高;还有出色的防水工艺, 30 米生活防水,轻松应对日常水上运动。这款新品发售后,在得物App社

  • Hennessey发布狂野6轮电动超跑Project Deep Space

    六个轮子、六个电动马达和一个灵感来自私人飞机的机舱,当你以200mph或更高的速度行驶时:没有人会指责汽车制造商Hennessey在谈到他们的Project Deep Space超跑时缺乏想象力。这家公司也许因制造更强大的性能皮卡版本而闻名,更不用说Venom F5了,它正在通过一款四座的全电动公路火箭来承诺更疯狂的事情。Hennessey Project Deep Space看起来更像是Thunderbirds的作品,而不是传统的豪华轿车。虽然该公司只分享了几张设计草图,但这

  • 苹果宣布为小型企业推出 Business Essentials 订阅服务

    苹果公司今天宣布推出Apple Business Essentials,这是一项新的基于订阅的服务,将为员工人数不超过500人的小型企业提供设备管理(如设置和入职)、iCloud存储,以及可选的7x24小时苹果支持服务。

  • NASA宣布推迟SpaceX Crew-2从ISS返回地球的时间

    NASA的SpaceX Crew-2任务现在的目标是不早于美国东部时间11月8日周一晚上10点33分返回地球并最终在佛罗里达州的海岸边降落。被命名为Endeavour的载人龙飞船计划于11月8日周一下午2:05从国际空间站解锁并开始回家之旅。由于天气原因,任务小组做出了调整11月7日解锁计划的决定。据悉,NASA将在NASA电视台、NASA应用和该机构网站上提供关于这次任务的报道。NASA宇航员Shane Kimbrough和Megan McArthur、JAXA宇航员ki Hoshide和ESA宇?

  • 苹果宣布威廉王子将成为Apple Fitness+下一个“Time to Walk”名人嘉宾

    据AppleInsider报道,苹果公司已宣布威廉王子将成为下一个“Time to Walk”名人嘉宾,他的 Apple Fitness+音频记录也将在Apple Music 1上播放。继2021年1月为 Apple Watch推出“Time to Walk”录音后,苹果一直在稳步增加新的名人。现在,在该公司所说的标志着其第二系列明星谈话的结束,威廉王子已经为该服务录制了21分钟的音频。每个“Time to Walk”版本都是在嘉宾行走时录制的。然后每个版本之后还会有来自 Apple Music 的简短

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天