WordPress插件漏洞影響100萬(wàn)個(gè)站點(diǎn)，或可永久刪除幾乎所有數(shù)據(jù)庫(kù)內(nèi)容

wenzi 發(fā)布于2021-11-04 16:05 / 780人閱讀

摘要：插件的開發(fā)人員意識(shí)到需要重新訪問整個(gè)。同時(shí)，所有可能被竊取的密鑰都會(huì)立即失效，站點(diǎn)所有者被迫生成新的密鑰。聯(lián)合創(chuàng)始人表示，該事件凸顯了漏洞管理的復(fù)雜性。

雖然“/wp-json/omapp/v1/support”端點(diǎn)的情況更糟，但它并不是唯一容易被利用的不安全REST-API端點(diǎn)。

WordPress 插件的開發(fā)人員意識(shí)到需要重新訪問整個(gè)API。

因此建議用戶在接下來(lái)的幾周內(nèi)安裝任何出現(xiàn)在WordPress儀表板上的OptinMonster更新，因?yàn)檫@些更新可能會(huì)解決額外的API缺陷。同時(shí)，所有可能被竊取的API密鑰都會(huì)立即失效，站點(diǎn)所有者被迫生成新的密鑰。

這個(gè)案例表明，即使是被廣泛部署和非常流行的WordPress插件也可能在很長(zhǎng)一段時(shí)間內(nèi)攜帶多個(gè)未被發(fā)現(xiàn)的缺陷。

插件擴(kuò)展攻擊面

Digital Shadows首席信息安全官Rick Holland指出，插件漏洞凸顯了第三方代碼帶來(lái)的攻擊面增加，瀏覽器擴(kuò)展也是如此。軟件公司應(yīng)對(duì)他們的代碼和運(yùn)行在他們代碼之上的代碼負(fù)責(zé)。

BreachQuest 聯(lián)合創(chuàng)始人表示，該事件凸顯了漏洞管理的復(fù)雜性。“機(jī)構(gòu)不僅需要知道他們正在運(yùn)行的內(nèi)容管理系統(tǒng)的安全性，還需要知道在這些系統(tǒng)上運(yùn)行插件是否存在安全漏洞。

中科天齊聯(lián)合創(chuàng)始人金琨先生曾表示，軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)部分。在軟件開發(fā)周期過程中，通過安全可信的靜態(tài)代碼檢測(cè)工具不斷檢測(cè)并修復(fù)由代碼缺陷帶來(lái)的安全漏洞，可以大大提高軟件安全性，降低軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn)。隨著數(shù)字化時(shí)代加速發(fā)展，數(shù)據(jù)安全需要安全可靠的軟件做保障。

參讀鏈接：

www.bleepingcomputer.com/news/securi…

threatpost.com/wordpress-p…

文章版權(quán)歸作者所有，未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為，您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址：http://systransis.cn/yun/122837.html

相關(guān)文章

堡塔網(wǎng)站加速插件：為網(wǎng)站加速的插件「wordpress效果測(cè)評(píng)」

摘要：堡塔網(wǎng)站加速是寶塔面板為用戶開發(fā)的一款網(wǎng)站加速插件網(wǎng)站加速插件，基于頁(yè)面緩存的網(wǎng)站加速插件，支持常見的眾多建站程序加速。那么有了堡塔網(wǎng)站加速之后，我們可以使用更多的加速方式，提升網(wǎng)站打開速度。實(shí)測(cè)加速性能遠(yuǎn)強(qiáng)于，以下加速效果來(lái)自環(huán)境。堡塔網(wǎng)站加速是寶塔面板為用戶開發(fā)的一款網(wǎng)站加速插件，基于頁(yè)面緩存的網(wǎng)站加速插件，支持常見的眾多建站程序加速。其原理是在http協(xié)議層緩存動(dòng)態(tài)頁(yè)面，對(duì)實(shí)時(shí)信息及已...

番茄西紅柿 2021-08-26 14:09 評(píng)論0 收藏2637
送給大家一本免費(fèi)的 WordPress 電子書

摘要：在兩年前的年底，我在上上線了我自己的達(dá)人課，如今，已經(jīng)過去了當(dāng)初約定的銷售時(shí)間，我決定將這個(gè)達(dá)人課開放給大家來(lái)看，讓更多的人掌握的開發(fā)能力。內(nèi)容持續(xù)更新這個(gè)電子書的內(nèi)容我后續(xù)還會(huì)繼續(xù)更新。我自己仍然在使用，相關(guān)的一些實(shí)踐也會(huì)分享到電子書里。在兩年前的 2017 年底，我在 GitChat 上上線了我自己的 WordPress 達(dá)人課，如今，已經(jīng)過去了當(dāng)初約定的銷售時(shí)間，我決定將這個(gè)達(dá)...

dantezhao 2019-07-01 12:34 評(píng)論0 收藏0
如何保護(hù) .NET 應(yīng)用的安全？

摘要：高效的應(yīng)用安全以三個(gè)強(qiáng)大的應(yīng)用安全引擎，分別是模式識(shí)別會(huì)話保護(hù)和簽名庫(kù)。同時(shí)，探針采用的模式識(shí)別應(yīng)用安全引擎能有效防護(hù)前文提到的攻擊，以及許多其他攻擊。自從 Web 應(yīng)用能給訪問者提供豐富的內(nèi)容之后，黑客們就把目光轉(zhuǎn)向任何他們能夠破壞，損毀，欺騙的漏洞。通過網(wǎng)絡(luò)瀏覽器提供的應(yīng)用越來(lái)越多，網(wǎng)絡(luò)罪犯?jìng)兛梢岳玫穆┒磾?shù)量也呈指數(shù)增長(zhǎng)起來(lái)。大多數(shù)企業(yè)都依賴于網(wǎng)站向客戶提供內(nèi)容，與客戶進(jìn)行互...

silenceboy 2019-06-21 16:27 評(píng)論0 收藏0
影響網(wǎng)頁(yè)渲染的關(guān)鍵

摘要：最優(yōu)化渲染路徑，實(shí)際上只要聚焦三件事情最小化關(guān)鍵資源的數(shù)量最小化關(guān)鍵字節(jié)數(shù)最小化關(guān)鍵路徑的長(zhǎng)度理解頁(yè)面加載速度的測(cè)量辦法當(dāng)百度談?wù)擁?yè)面加載速度時(shí)，他們并不是指加載一個(gè)網(wǎng)頁(yè)的總時(shí)間。張超 — MAY 21, 2015 經(jīng)常有站長(zhǎng)、開發(fā)者、運(yùn)維疑惑：為什么我們的后臺(tái)服務(wù)器很快，但是用戶要看網(wǎng)頁(yè)里面的內(nèi)容卻需要很長(zhǎng)時(shí)間？我們?cè)谏弦黄恼隆豆肢F大作戰(zhàn): 解析網(wǎng)站打開慢的原因》中簡(jiǎn)單介紹了影...

weknow619 2019-05-28 16:53 評(píng)論0 收藏0
120 萬(wàn)個(gè) WordPress 網(wǎng)站發(fā)生數(shù)據(jù)泄漏

摘要：但現(xiàn)在，作為全球頂級(jí)網(wǎng)絡(luò)托管公司的公司報(bào)告說，超過萬(wàn)客戶的數(shù)據(jù)已被曝光，且數(shù)據(jù)暴露已有數(shù)月。而哈希公鑰被認(rèn)為是的行業(yè)最佳做法。宣布，目前正在進(jìn)行調(diào)查，并正在與所有受影響的客戶直接聯(lián)系，提供具體細(xì)節(jié)。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:...

?xiaoxiao, 2021-11-24 09:38 評(píng)論0 收藏0