WordPress Total Donations 外掛漏洞，導致網站遭受零日攻擊

使用“Total Donations”外掛的 WordPress 網站，Defiant 建議網站管理員從他們的伺服器中刪除該外掛，防止黑客利用其程式碼漏洞攻擊網站。

過去一週，來自 Defiant 的安全專家觀察到了使用 “Total Donations” 外掛會導致網站遭受零日攻擊。Defiant 是 專門製作 WordPress 防火牆外掛的公司。

此次漏洞覆蓋所有版本的 “Total Donations” 外掛。“Total Donations”是一個 商業外掛 ，網站管理員一直用來在網站收集和管理網站捐贈，目前已經放棄維護。

據研究人員 Mikey Veenstra 稱，該外掛的程式碼包含幾個設計缺陷，這些缺陷從整體上將外掛和 WordPress 網站暴露在不安全的環境中，在 週五釋出的一份安全警報 中，Veenstra 表示，該外掛包含一個 Ajax 程式碼，任何未經驗證的遠端攻擊者都可以使用該程式碼操作改外掛。

Ajax 程式碼存放在外掛的一個檔案中，這意味著停用外掛並不能消除威脅，因為攻擊者只需直接呼叫該檔案，所以只有刪除整個外掛才能保護站點免受攻擊。 該Ajax 程式碼允許攻擊者更改任何 WordPress 站點的核心設定項的數值，更改外掛相關的設定，修改通過外掛收到的捐款的目標帳戶，甚至檢索 Mailchp 郵件列表。

“Total Donations”的開發商目前已經停止該外掛的開發，該公司在 CodeCanyon 所有外掛目前已全部停止下載。作為一個商業產品，該外掛不會有一個龐大的使用者群。但該外掛最有可能安裝在擁有大量使用者群的 WordPress 網站上，這些網站是黑客的主要目標。