WordPress Total Donations 外掛漏洞,導致網站遭受零日攻擊
使用“Total Donations”外掛的 WordPress 網站,Defiant 建議網站管理員從他們的伺服器中刪除該外掛,防止黑客利用其程式碼漏洞攻擊網站。
過去一週,來自 Defiant 的安全專家觀察到了使用 “Total Donations” 外掛會導致網站遭受零日攻擊。Defiant 是 專門製作 WordPress 防火牆外掛的公司。
此次漏洞覆蓋所有版本的 “Total Donations” 外掛。“Total Donations”是一個 商業外掛 ,網站管理員一直用來在網站收集和管理網站捐贈,目前已經放棄維護。
據研究人員 Mikey Veenstra 稱,該外掛的程式碼包含幾個設計缺陷,這些缺陷從整體上將外掛和 WordPress 網站暴露在不安全的環境中,在 週五釋出的一份安全警報 中,Veenstra 表示,該外掛包含一個 Ajax 程式碼,任何未經驗證的遠端攻擊者都可以使用該程式碼操作改外掛。
Ajax 程式碼存放在外掛的一個檔案中,這意味著停用外掛並不能消除威脅,因為攻擊者只需直接呼叫該檔案,所以只有刪除整個外掛才能保護站點免受攻擊。 該Ajax 程式碼允許攻擊者更改任何 WordPress 站點的核心設定項的數值,更改外掛相關的設定,修改通過外掛收到的捐款的目標帳戶,甚至檢索 Mailchp 郵件列表。
“Total Donations”的開發商目前已經停止該外掛的開發,該公司在 CodeCanyon 所有外掛目前已全部停止下載。作為一個商業產品,該外掛不會有一個龐大的使用者群。但該外掛最有可能安裝在擁有大量使用者群的 WordPress 網站上,這些網站是黑客的主要目標。