rss信息聚合

全球网站中招?WordPress惊爆后门大开

2017-09-25 16:07:57 作者:刘子乐 来源:TechDaily 浏览次数:0 网友评论 0 | Share to

【TechDaily电子报2017年9月25日综合报导】全球新闻网站现在陷入后门大开的危险时期, WordPress平台的知名外挂Display Widgets被爆打开网站后门,让使用WordPress的报纸、杂志及博客网站处于不设防的高危状况。

提供网站安全外挂程式的Wordfence指出,WordPress平台的知名外挂Display Widgets有后门,可让作者更新或移除网站上的内容,甚至散布垃圾讯息,而不会被WordPress用户看到,WordPress.org虽然曾移除该外挂程式,但作者持续上传含有后门的版本,3个月内移除了4次。

Display Widgets的功能在于可根据不同的网页、类别、客制化分类或WPML语言以自动变更侧边栏位的内容,以免除使用者手动制作众多侧边栏位的困扰,估计有超过20万名WordPress用户正在使用它。

WordPress是目前互联网上最流行的博客系统,以PHP和MySQL为平台的自由开源的博客内容管理系统。由于使用价格低,大马主流媒体包括许多报纸、杂志的网站都使用这套具有插件架构和模板的新闻管理系统,而博客网站的使用率更是近乎百分之百。

专门提供WordPress安全外挂程式的Wordfence上周指出,知名的WordPress外挂程式Display Widgets含有后门,将允许作者于采用该外挂的WordPress网站上发布任何内容,并建议使用者立即移除它。

Wordfence发现,Display Widgets的作者不断利用该后门于各个采用它的WordPress网站发布垃圾内容,该后门允许作者更新或移除WordPress网站上的内容,还能避免登入的WordPress用户看到这些内容。

即使WordPress.org曾经把它自外挂资料库中移除,但Display Widgets作者却锲而不舍地上传含有后门的版本,这3个月以来,WordPress.org总计删了它4次。

上周WordPress.org发布了 未含后门的Display Widgets 2.7版,宣称它与尚未遭植入后门的Display Widgets 2.0.5版一样,是个干净的版本,主要供正在使用它的用户升级。

然而,Display Widgets 2.7版只供既有用户升级,并不允许新用户安装,WordPress.org认为Display Widgets的作者已经摧毁了使用者对该外挂程式的信任,因此已经将之移除,并建议需要相关功能的用户或者更新,或者寻找其他的外挂程式。

事实上,Display Widgets的原始作者在今年6月就把该外挂程式卖掉了,作怪的是Display Widgets的新主人,从接手后所发表的Display Widgets 2.6.0到2.6.3都含有后门。

 

[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]

  • 验证码:

最新图片文章

最新文章