首页 > 见闻 > 关键词  > WordPress最新资讯  > 正文

WordPress插件出现漏洞,数百万网站遭探测和攻击

2020-09-07 11:49 · 稿源:站长之家

站长之家(ChinaZ.com) 9月7日 消息:根据Wordfence网络防火墙背后的公司Defiant消息,上周数以百万计的WordPress网站遭到了探测和攻击。

站长之家了解到,黑客发现并开始利用“File Manager”中的一个零日漏洞后,攻击突然激增。“File Manager”是一个安装在 70 多万个站点上的流行WordPress插件。

而该零日漏洞是一个未经身份验证的文件上传漏洞,它允许攻击者将恶意文件上传到运行较旧版本“File Manager”插件的站点上。

目前尚不清楚黑客是如何发现插件的零日漏洞,但从上周早些时候开始,他们开始搜索可能安装该插件的网站。

一旦探测到,攻击者将利用零日,在受害者的服务器上上传一个伪装在图像文件中的web shell。然后,攻击者将访问web shell并控制受害者的站点。

(站长之家注:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。)

“过去几天来,针对这一漏洞的攻击急剧增加,”Defiant的威胁分析师Ram Gall表示。

攻击开始缓慢,但在过去一周不断加强,仅仅在 9 月 4 日, Defiant 就记录了对 100 万个WordPress站点攻击记录。

Gall表示,自 9 月 1 日第一次发现攻击以来,Defiant总共阻止了对 170 多万个网站的攻击。

170 万这个数字超过了使用Wordfence网络防火墙网站数量的一半。Gall认为,攻击的真正规模甚至更大,因为WordPress被安装在数以亿计的网站上,所有这些网站都可能逐渐被探测和攻击。

好消息是,File Manager开发团队在发现攻击的同一天发布了一个补丁,一些网站所有者已经安装了补丁。

最近,WordPress开发团队为WordPress主题和插件添加了一个自动更新功能。

从上个月发布的WordPress 5. 5 开始,网站所有者可以配置插件和主题,以便在每次有新更新发布时自动更新自己,并确保他们的网站始终运行主题或插件的最新版本,以确保安全不受攻击。

举报

  • 相关推荐
  • 42岁百万网红“草帽姐”确诊肝病:终生无法康复 哭得泣不成声

    近日42岁百万网红草帽姐”称确诊肝病,检查结果显示她患有肝纤维化,终生无法康复,还接到了劝捐电话,人在医院哭得泣不成声。 据了解,肝纤维化是由于导致肝脏损伤的某种原因造成肝脏在修复过程中产生的一种变化。也可以这样理解,当我们的皮肤在受到某些创伤后会形成伤疤,肝脏在受伤后也会产生伤疤,这就是肝纤维化。 专业地说,肝纤维化是多种病因导致肝�

  • 哪个网站的AI产品库最全?最全AI工具网站平台推荐

    本文介绍了AI工具爆发式增长背景下,全面及时的AI产品库的重要性。重点推荐AIbase平台,该平台收录7000+AI产品,覆盖30+功能分类,支持多维度筛选,数据实时更新。AIbase优势包括:1)全品类覆盖;2)开发者友好,提供API接口;3)个性化体验,支持收藏和导出工具清单。适合内容创作者、开发者、学生等各类用户使用。通过AIbase可快速找到适合的AI工具,提升工作效率。访问�

  • REDMI K Pad首发双USB-C接口!支持充电+DP OUT等多场景

    REDMI K Pad将于6月26日发布,这是REDMI首款旗舰小平板。 REDMI K Pad还是小米首款拥有双USB-C接口的平板,横竖握持都不会影响充电。 今日,REDMI品牌总经理王腾表示,USB-C接口支持至高USB 3.2 Gen1的协议,并且带来两大核心体验升级。 首先依托于双C口,无论横竖握持,边充边玩都不再挡手。

  • MCP server资源网站去哪找?国内MCP服务合集平台有哪些?

    在人工智能飞速发展的今天,AI模型与外部世界的交互变得愈发重要。一个好的工具不仅能提升开发效率,还能激发更多的创意。今天,我要给大家介绍一个宝藏平台——AIbase(<https://mcp.aibase.cn/>),一个专注于MCP(Model Context Protocol)服务的全球集合平台,它正在悄然改变AI应用开发的格局。 平台精心挑选了全球最受欢迎的MCP服务进行推荐。这些服务经过了市场的检验,具�

  • “橙学”崛起!全网超500万网友学做中式白人饭

    只有真正做过饭的人,才知道只用电饭煲做完一顿饭的含金量有多高。 一般提到做饭,大概率联想到的是满满油烟味的厨房和一水池需要清理的锅碗瓢盆,而在“厚皮橙”的做饭视频中,却是另外一番景象。 点开“厚皮橙”的视频,看不到精美的摆盘或复杂的烹饪技法,只有几样常见的食材和一副趁手的锅铲,便能烹饪出一桌色香味俱全的家常菜。

  • 如何用DeepSeek一键自动生成Word文档

    DeepSeek推出AI自动排版Word文档功能,用户只需输入指令即可一键生成格式规范的文档,大幅提升办公效率。操作流程:1.在DeepSeek对话框输入文档要求并指定HTML格式输出;2.AI处理完成后点击运行按钮;3.页面会出现下载Word按钮,点击即可获取自动排版的文档。该工具同样支持生成PDF、Excel等格式,只需修改指令中的文件类型即可。免费工具地址:https://www.deepseek.com

  • YouTube:2024年,我们为美国创造了 49 万岗位、550 亿美金GDP!

    YouTube 称他们的生态系统在 2024 年为美国创造 49 万个就业岗位、贡献 550 亿美元 GDP……

  • 780万网红孙恩盛被曝无证驾驶 自称科一8次未过 科二失败4次

    ,今年6月份,抖音已有780万粉丝的网红孙恩盛因参与验资PK”(要求粉丝60秒内刷10万元礼物)被批诱导非理性消费,遭平台停播。 随后,有网友质疑孙恩盛2023年无证驾驶,引发热议。 报道称,根据其直播片段,孙恩盛在2024年底承认驾照未考取”,但早在2023年底他就已驾驶机动车,疑似无证驾驶。 此外,孙恩盛还自称近期在考驾照”,并自爆科目一8次未考过,科目二失败

  • 国内有哪些AI资讯网站?最全面的AI新闻资讯平台盘点

    本文介绍了国内主要AI资讯平台,帮助读者获取最新行业动态。综合类平台包括机器之心(专注前沿技术报道)、AI科技评论(雷锋网旗下专业视角平台)和新智元("智能+"为核心的全方位报道);专业技术导向平台有CSDN AI频道(含丰富实践内容)和InfoQ AI栏目(侧重开发实践);新兴聚合平台AIbase整合国内外最新资讯,量子位则专注AI与量子计算等前沿领域。建议根据�

  • 7岁男孩对小猴竖中指遭猴子群殴 网友:敢惹猴哥

    ​近日,一则“男童在黔灵山被五只猴子骑肩围殴”的视频在社交平台迅速传播,相关话题很快登上热搜榜,引发网友广泛关注。视频中,一名约七八岁的男童脖颈处带有明显伤痕,家长在旁讲述事发经过时,网友们的态度经历了从同情到调侃的转变。 据发布该视频的抖音用户介绍,事发当天,其母亲带着上小学二年级的侄子前往黔灵山游玩。这本是一次普通的亲子出游,却