Easy WP SMTP等插件漏洞被利用,建议及时升级

转载   开源中国社区  2019-03-27 10:25:48  165 人阅读  24 条评论

前几天很多报道都说到全世界流量排名前 1000 万的网站中就有 33.4%的站点是用 WordPress 搭建的,这么广泛的使用,一旦其中有安全漏洞被利用,影响会相当广。这次攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞入侵托管站点,影响站点数量众多。

Easy WP SMTP等插件漏洞被利用,建议及时升级 Plugins 第1张

被利用的两个插件,其中之一是 Easy WP SMTP,最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击,数据显示有 300 000 次下载安装;另一个插件是 Social Warfare,已经被安装了 70 000 次,它的利用是由另一家安全公司 Defiant 披露的。

两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导,有两个竞争组织正在实施攻击,其中一个在创建管理员帐户后暂时停止操作,而另一个组织则会进行后续步骤,其会使用虚假帐户更改站点,将访问者重定向到恶意站点。

有趣的是,这两个攻击组织使用了相同的代码用于创建管理员账户,而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。

据 arstechnica 的报导,虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁,但是下载数据表明许多易受攻击的网站尚未安装更新,Easy WP SMTP 在过去 7 天内的下载量仅为 135 000 次,而 Social Warfare 补丁自周五发布以来,也仅被下载了少于 20 000 次。

安全事大,如果你的网站托管在 WorPress 上,并且使用了这两个插件中的任一一个,那么需要确保已将其更新为:Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3

Boke112 导航强烈建议:

使用 WordPress 站点的站长,不管是 WordPress 本身,或插件,或主题,后台有提示升级的最好及时升级,特别是插件的升级和 WordPress 本身小版本的升级,很多都是修复漏洞的升级,所以一定要及时升级。如果 WordPress 后台无法直接升级的,请手动升级。具体请参考『如何手动升级 WordPress 到最新版本/还原到旧版本』。

您可能感兴趣的文章

文章标签: ,  
原文地址:https://www.oschina.net/news/105448/wordpress-plugin-vulnerabilities-are-being-exploited
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 开源中国社区 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
©boke112导航,本站推荐使用:阿里云 ECS服务器等云产品服务,国外免备案主机建议使用:老薛主机
转载砖家

 发表评论

强表情无奈表情抠鼻表情笑哭表情偷笑表情衰表情流汗表情奋斗表情吐血表情抓狂表情晕表情流泪表情疑问表情呲牙表情惊讶表情鼓掌表情

  1. 阁主博客
    阁主博客 @回复

    有漏洞的地方一定要及时停用旧版本,应该立即更新或者更换相对应的插件,数据无价。

    • 懿古今
      懿古今2019-03-29 11:38  回复

      @阁主博客是的,数据无价,安全无小事,所以及时备份数据和升级相关插件之类的还是要经常做的

  2. 子午书屋
    子午书屋 @回复

    安全,重中之重

    • 懿古今
      懿古今2019-03-28 15:43  回复

      @子午书屋是的,做博客网站的,数据安全尤为重要,万一哪天数据有问题了,估计也很难有激情再来一次了

  3. 唯心寒辞
    唯心寒辞 @回复

    这个插件一开始用过,后面就换成代码了

  4. 大缺缺
    大缺缺 @回复

    我的博客就是这样被黑的,现身说法!!

  5. 弥雅尔尔
    弥雅尔尔 @回复

    WP网站的安全,第一步就是保持WP与插件的必要更新!

  6. WordPress建站吧
    WordPress建站吧 @回复

    额,可怕啊

  7. 猫鼬
    猫鼬 @回复

    我用的WP SMTP 和 Easy WP SMTP啥关系?

  8. 去看你博客
    去看你博客 @回复

    看了这篇文章赶紧去看看我有没有使用这个插件

  9. 李野
    李野 @回复

    我尽量都是用代码实现 插件也许就1-2个 这个smtp我尽量用代码 [偷笑]

    • 懿古今
      懿古今2019-03-27 17:11  回复

      @李野是的,这个SMTP其实用代码就可以实现。其实不管是什么插件,能升级就升级,这样相对安全一些

  10. 涂红伟
    涂红伟 @回复

    无论是wordpress本身,还是各种插件和主题有了新版本后都应该及时更新,防止漏洞被利用。

  11. MAY网络营销
    MAY网络营销 @回复

    插件我一般会升级到最新版,但是WP和主题升级一般先不做处理,在网上了解清楚后再处理。 [呲牙]

  12. 野人
    野人 @回复

    还好只是测试下smtp是否正常后,就卸载了,应该没事了吧