WordPress在今年1月26日釋出WordPress 4.7.2,宣稱修補了3個安全漏洞,直至2月1日才揭露該版其實還修補了另一個未經驗證之權限擴張漏洞,此一權限擴張漏洞惹來駭客的覬覦,資安業者Wordfence指出,截至2月9日為止,已有20個駭客組織爭相攻擊該漏洞,超過155萬個WordPress網站受害。

該漏洞允許駭客藉由簡單的HTTP請求來繞過認證系統,取得編輯WordPress網頁的權限,影響WordPress 4.7.0與WordPress 4.7.1兩個版本。由於風險過高,使得WordPress一開始藏匿了漏洞資訊,以建立修補緩衝期,儘管如此,關閉自動更新機制的WordPress網站仍然成為了此波攻擊的主要受害者。

被駭的WordPress網頁內容會被來自駭客的訊息所取代,Wordfence亦發現駭客之間還會彼此搶奪地盤,有些網站甚至每天被不同的駭客進駐。其中,自稱為MuhmadEmad的駭客已入侵了39.7萬個Wordfence網站。

Wordfence說,這是WordPress有史以來最糟糕的安全漏洞之一,用戶只有加裝防火牆或升級到4.7.2才能躲過這場災難。


Advertisement

更多 iThome相關內容