WordPress嚴重漏洞修補后未即時公告，但仍有黑客趁機發動攻擊

開源的內容管理軟件 WordPress，被不少公司、團體、個人采用，做為架設博客甚至網站的工具。但是 WordPress 卻被傳出好幾個漏洞。但是 WordPress 官方最初公告有 3 個修補，其實有個最嚴重的漏洞也有修補了，但是基于信息安全防護理由，未對外公開。

WordPress 修補的 4 個信息安全漏洞，像是跨站腳本攻擊、SQL 注入攻擊。所幸最新版本的 WordPress 4.7.2 修補上述為數眾多的漏洞，其中最嚴重的部分是 WordPress REST API 的漏洞，能讓黑客不必登入，就能夠遠程增加、減少、修改網站內容。這個嚴重漏洞并未第一時間告知大家，也在這次更新之中，深怕黑客知道之后，趁還有沒更新的站臺時大舉入侵。WordPress 打算先讓大部分的 WordPress 站臺的自動更新機制發揮作用。

根據回報的信息安全公司 Sucuri 人員 Marc-Alexandre Montpas 在 2 月 1 日發布的文章說法，網站使用 WordPress 4.7.0 升級之后，就有這個未第一時間表明的漏洞。他發現該漏洞之后，在 1 月 20 時通知 WordPress，著手提供修補。另外還有觀察網絡上是否有不肖人士利用該漏洞，通知信息安全公司和網站空間服務商。1 月 26 日 WordPress 發布新的 4.7.2 版本，公布修補 3 個漏洞，但其實最嚴重的漏洞也有一并修補，但為了避免讓黑客知道這個嚴重的漏洞，先壓下來不對外發布，避免黑客利用資訊差，對未更新的網站發動攻擊。

▲ 從漏洞被發現后累積的數量。(來源：Sucuri)

盡管 WordPress 在 4.7.2 發布的更新已經修補漏洞，而且也沒有第一時間全面告知，而是先修補等待大家都更新軟件才公開。根據 Sucuri 的另一篇文章指出，有黑客組織運用 WordPress REST API 的漏洞，發動 4 波 SEO Spam 攻擊。其中 w4l3XzY3 這一波攻擊造成超過 66,000 個頁面遭到修改，其他 3 波攻擊規模就小，只有 500 多個頁面受到影響。

▲ 用 Google 查詢 w413XzY3 的 SEO spam 數量，有 66,000 個頁面受影響。(來源：Sucuri)

許多人使用的 Google Search Console，原先叫 Google Webmaster，有發信息提醒旗下網站要趕緊升級 WordPress 版本，但用詞不當引起誤會了。盡管 Google 是好意提醒，但是很多已經升級的網站卻被搞得很緊張，因為很多收到通知的人并不是那么熟技術。

信息安全漏洞常常會出現，因此軟件不時會發布修補程序。對使用者來說可是要時時緊盯軟件是否有最新的版本，假若是重大更新可要趕快升級。

相關鏈接

• Google Makes WordPress Site Owners Nervous Due to Confusing Security Alerts
• Critical WordPress update fixes zero-day flaw unnoticed
• Thousands of WordPress websites defaced through patch failures
• Attackers Capitalizing on Unpatched WordPress Sites

來自: technews.cn