信息來源：51CTO

WordPress是使用PHP語言開發(fā)的博客平臺(tái)，用戶可以在支持PHP和MySQL數(shù)據(jù)庫的服務(wù)器上架設(shè)屬于自己的網(wǎng)站，也可以把 WordPress當(dāng)作一個(gè)內(nèi)容管理系統(tǒng)(CMS)來使用。WordPress因其易用性，廣受開發(fā)人員的喜愛。在WordPress世界中有各種各樣的主題和插件，開發(fā)人員可以利用他們輕松地構(gòu)建網(wǎng)站。

相信很多人一開始就被WordPress所吸引，可能是因?yàn)槠鋸?qiáng)大的插件系統(tǒng)。盡管WordPress本身存在許多功能缺陷，但它可以通過插件彌補(bǔ)這些缺陷。然而，插件也會(huì)存在漏洞，帶來安全風(fēng)險(xiǎn)。

近日，據(jù)某外媒報(bào)道，Elementor Pro與Ultimate Addons for Elementor這兩個(gè)流行的WordPress插件缺陷，正致使數(shù)百萬網(wǎng)站面臨風(fēng)險(xiǎn)。其中，Elementor Pro插件是一個(gè)網(wǎng)站構(gòu)建器，允許用戶使用拖放構(gòu)建器添加模塊并自定義其網(wǎng)站。其深受用戶歡迎，目前有超過一百萬的活躍用戶。

有關(guān)研究發(fā)現(xiàn)，該Elementor Pro插件存在漏洞易受到黑客攻擊，攻擊者可以利用該漏洞遠(yuǎn)程上傳任意文件，從而執(zhí)行未經(jīng)授權(quán)的代碼，這將帶來嚴(yán)重危害。例如，考慮可以以這種方式安裝后門和Web Shell，這兩者都可以使攻擊者為其自身訪問站點(diǎn)的關(guān)鍵部分(例如文件系統(tǒng))創(chuàng)建重復(fù)進(jìn)行遠(yuǎn)程訪問的途徑，執(zhí)行站點(diǎn)數(shù)據(jù)刪除操作。值得注意的是，攻擊者必須是有問題的WordPress網(wǎng)站的注冊(cè)用戶，此攻擊才能起作用。

但是，如果由于某些原因無法滿足此先決條件，則有另一個(gè)名為Ultimate Addons for Elementor的插件，Ultimate Addons是一個(gè)獨(dú)特的Elementor小工具庫，可為頁面生成器增加更多的功能和靈活性。

據(jù)悉，該插件的1.24.1及以下版本中存在漏洞，允許某人無需任何管理員批準(zhǔn)的用戶注冊(cè)即可攻擊主要Elementor Pro插件。也就是說，WordPress具有不同的用戶角色，其中之一包括訂戶。 在這種情況下，要注冊(cè)為訂戶，無需獲得站點(diǎn)管理員的批準(zhǔn)，允許攻擊者自己這樣做，從而利用存在的漏洞。

與所有內(nèi)容一樣，請(qǐng)放心，這些內(nèi)容也都已提供修復(fù)程序。根據(jù)WP行業(yè)安全插件WordFence發(fā)布的準(zhǔn)則指出，Elementor Pro于5月7日發(fā)布補(bǔ)丁，對(duì)Elementor Pro的最新版本進(jìn)行更新將有助于保護(hù)您的網(wǎng)站。

Wordfence發(fā)送了一條針對(duì)該問題的推文：

在此，專家建議您還可以采取以下預(yù)防措施：

◆主動(dòng)刪除未經(jīng)您的許可可能已在您的網(wǎng)站上注冊(cè)的所有訂戶級(jí)用戶，因?yàn)檫@可能表示妥協(xié)(IOC)。

◆請(qǐng)注意一個(gè)名為“wp-xmlrpc.php”的文件，因?yàn)檫@也可能是一個(gè)IOC，應(yīng)將其刪除。

◆檢查文件管理器中的/wp-content/uploads/elementor/custom-icons/目錄文件夾，以確保在此處未找到攻擊者可能已上傳進(jìn)行攻擊的未授權(quán)或未知文件。

總而言之，在站點(diǎn)上安裝安全插件也很重要，WordFence或Sucuri都可以工作，它們可以主動(dòng)掃描您的站點(diǎn)是否存在任何惡意軟件威脅，同時(shí)通過實(shí)施措施(例如限制直接上傳任何基于PHP的文件。

此外，您還應(yīng)該手動(dòng)或通過插件對(duì)站點(diǎn)進(jìn)行定期備份，以確保在發(fā)現(xiàn)數(shù)據(jù)被刪除的情況下始終可以恢復(fù)站點(diǎn)。