WordPress最新版本网站漏洞修复商讨
刚刚起步的 WordPress博客系统,被站点安全系统发现存在插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经许可身份认证的普通用户给予了系统管理员权限。 这个WP插件的主要功能是可以将网站的主题自定义的进行外观设计,与导入代码,让很多新手不懂代码设计的可以迅速的掌握该技巧对网站进行外观设计,目前全球使用该插件的人数达到二十五万多企业网站在使用该插件,也是目前最受环境的插件。该网站漏洞影响的插件版本,是存在于1.5-1.6版本。根据目前WP官方的数据资料统计,使用该版本的用户以及网站数量占比竟然达到百分之95左右,受漏洞影响的网站确实太多,建议各位站长尽快对该插件进行升级,修复漏洞。 针对该插件漏洞的修复办法,可以在“wdcp_init”的Hook网站环境中运行,而且还可启用无需通过身份认证的普通用户的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份认证就使漏洞没有利用的机会了。假如数据表中存有“wdcp”普通用户,未经许可身份认证的黑客机会会应用此账号登陆,并删掉全部以已定义的数据表前缀打头的。可以将该用户数据删除掉,以防止自己的网站被不法分子攻击。 只要删掉了全部表,它将应用高级设置和数据信息添充数据表,随后将“wdcp”普通用户的密码修改为其此前已经知道的登陆密码。这意味着,如果用户忘记密码,他们可以通过该漏洞获取他们的个人信息。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |