上周,Sucuri的安全研究人员(他们的建议在这里)发现了一个影响大量WordPress插件的安全缺陷——包括UpdraftPlus在我们当前版本之前的版本(免费版本为1.9.64,付费版本为2.9.64)。由于许多插件受到影响,这个缺陷的消息直到现在都是保密的,而Sucuri正在寻找更多受影响的插件。同时发布公告意味着在一个插件中发现公告的黑客不能去其他尚未发布更新的插件中搜索它。
该缺陷是“XSS”漏洞(Wikipedia链接)。这意味着黑客有可能在你的网站中插入不需要的内容。什么样的内容,它能影响谁,取决于插件本身的细节和它是如何工作的。在UpdraftPlus中,危险是这样的:攻击者需要a)发送给你一个特别制作的链接,b)说服你点击它,在一台计算机上,你也登录到你的网站上的WordPress仪表盘,并具有管理权限。如果你点击了这个链接,那么攻击者就可以在你的仪表板页面中运行代码一次(即不是持久的-它不会停留在你的仪表板中),执行UpdraftPlus管理操作(例如下载备份,运行备份,删除备份)。我们不相信攻击者有办法上传和恢复他们自己的备份。(例如,他们不能通过注入和恢复他们自己的备份来修改你的站点)。为了说清楚:因为UpdraftPlus从来没有任何理由,因此没有代码,在你的网站的前端显示任何东西,这是不可能的缺陷,导致代码显示给你的网站的访问者。没有对UpdraftPlus仪表板的管理访问权限的登录用户也不会受到影响。
其他插件将以其他方式受到影响。以上描述并没有描述通过其他受影响的插件可能存在的风险。要检查所有4万个左右的WordPress插件是不可能的(插件作者必须自己检查),但Sucuri一直在审计许多流行的插件,
WordPress SEO JetPack All In One SEO Gravity Forms Easy Digital Downloads UpdraftPlus WP-E-Commerce WPTouch Download Monitor P3 Profiler Give Ithemes Exchange双因素身份验证坏链接检查器
你应该立即检查所有这些插件已经更新到最新版本。这个漏洞是如何影响这么多插件的?基本上,这很容易做到。WordPress的编码手册,针对一个特定的功能,包含了一个易受攻击的使用示例。如果你像例子中建议的那样使用这个函数,那么你就会在你的插件中引入一个安全漏洞。现在,该页面已被更正,提供了关于潜在漏洞的具体指导,并显示了安全示例。Sucuri意识到了这个错误,开始寻找那些按照之前建议的方式使用该函数的插件。这个缺陷在UpdraftPlus 1.9.64(免费用户)和2.9.64(付费用户)中被修复。所以,如果你的版本号低于这个,那么请更新。许多免费用户会发现他们已经被更新了——wordpress.org已经向网站发布了自动更新的指令。因此,如果您已经使用了安全版本,请不要感到惊讶!David Anderson (UpdraftPlus创始人、首席开发者)
