最近修复了流行的WordPress插件,该插件具有超过50万个活动安装,以修复可让黑客完全控制的漏洞。
流行的WordPress插件EasyWPSMTP插件,拥有超过500,000个活动安装,仅修复了一个漏洞,该漏洞使攻击者可以控制站点。WordPress插件中的缺陷使黑客可以重置管理员密码并完全控制网站。
易WPSMTP漏洞
该漏洞位于调试日志文件中,该日志文件是由于插件如何维护文件夹中的一个非常基本的错误而暴露的。服务器上的插件文件夹中包含用户不希望看到的文件,通常包含空白的index.html文件。该文件的目的是防止某人导航到该文件夹并发现该文件夹中的文件列表。
SEOPowerSuite。提供结果的免费SEO工具。使用方便。有效。可靠。使用SEOPowerSuite改善您的网站排名。
如果某人可以看到文件列表,则他们可能会访问这些文件,情况就是这样。
调试日志文件所在的文件夹没有index.html文件。因此,在默认情况下未禁用目录索引列表的服务器上,恶意黑客可以访问该文件。
他们首先要做的是从他们试图使用广为人知的方法破解的WordPress网站获取管理员级别的用户名。
然后,他们访问WordPress登录页面,并为管理员帐户发送密码重置。
最后,他们访问调试日志文件并检索WordPress网站发送的密码重置链接的记录。一旦他们检索到该链接,便可以输入它,重置密码,然后完全访问WordPress网站。
Changelog中记录的文件夹问题
EasyWPSMTPVulnerability插件维护称为变更日志的变更日志,该变更日志记录了每次更新中的所有变更。应当读取变更日志,以便用户可以了解更新的变化。
通常,在修补漏洞时,插件开发人员会注意到正在修补漏洞。这为WordPress发布者提供了他们做出明智决定是否更新插件还是等待所需的信息。
通知发布者更新正在插入漏洞的变更日志允许发布者做出明智的决定来更新插件,以避免被黑客入侵。
该简易WPSMTP插件的changelog只说他们的文件夹中插入一个index.html文件,以防止任何人浏览它。这应该足以警告您这是一个重要的更新,但前提是发布者知道窥视该文件夹很危险。
立即更新插件
强烈建议EasyWPSMTP插件的所有用户更新到高于1.4.2版的版本。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/168690.html