酷站(www.ku0.com)-致力于为互联网从业者提供动力!

热门关键词:  企业  as  baidu  c4rp3nt3r  美女
【ECS精选特惠】新用户上云低至1折起
百度资源

WordPress最新版本网站漏洞修复介绍

来源:互联网搜集 作者:秩名 人气: 发布时间:2020-03-02
本篇文章主要介绍了WordPress最新版本网站漏洞修复介绍,对大家的学习或者工作具有一定的参考学习价值,感兴趣的小伙伴们可以参考一下,也感谢大家对酷站(ku0.com)的支持。

2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经许可身份认证的普通用户给以了系统管理员权限。黑客能够以网站管理员的身份进行登陆,并可以将wp企业网站的全部数据表信息恢复为以前的模式,进而上传webshell企业网站木马代码来进行篡改企业网站。现阶段受危害的版本包含最新的WP系统。

这个WP插件的主要功能是可以将网站的主题自定义的进行外观设计,与导入代码,让很多新手不懂代码设计的可以迅速的掌握该技巧对网站进行外观设计,目前全球用该插件的人数达到二十五万多企业网站在使用该插件,也是目前最受环境的插件。该网站漏洞影响的插件版本,是存在于1.5-1.6版本。根据目前WP官方的数据资料统计,使用该版本的用户以及网站数量占比竟然达到百分之95左右,受漏洞影响的网站确实太多,建议各位站长尽快对该插件进行升级,修复漏洞。

该网站漏洞的利用方式以及条件,必须是该主题插件处于启用状态,并且是公司网站上都安装了这个插件才会受到漏洞的攻击,让黑客有攻击网站的机会。SINE安全技术在实际的漏洞利用测试过程中,也发现了一些问题,插件绕过漏洞的利用前提是需要有1个条件来进行,网站的数据库表中的普通用户必须有admin账户存在,目前的网站安全解决方案是尽快升级该插件到最新版本,有些企业网站不知道该如何升级的,先将改插件在后台关闭掉,防止黑客的入侵。

针对该插件漏洞的修复办法,可以在“wdcp_init”的Hook在网站环境中运行,而且还可启用无需通过身份认证的普通用户的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份认证就使漏洞没有利用的机会了。假如数据表中存有“wdcp”普通用户,未经许可身份认证的黑客机会会应用此账号登陆,并删掉全部以已定义的数据表前缀打头的。可以将该用户删除掉,以防止网站被攻击。

只要删掉了全部表,它将应用高级设置和数据信息添充数据表,随后将“wdcp”普通用户的密码修改为其此前已经知道的登陆密码。某安全组织于2月6号检测到了该网站插件绕过漏洞,在同一天将其安全报告给插件的开发公司。十天之后,也就是上个星期,主题Grill插件公司,发布了修复该网站漏洞的新版本。

在编写这篇文章时,修补后的插件,最新版本下载数量达到二十多万,这说明应用还有很多企业网站没有修复漏洞,仍然处在被攻击的风险当中。针对于WP官方的数据安全中心发布的安全报告中显示的两个网站漏洞,当黑客利用这些网站漏洞时,都是会造成和本次安全事件一样的影响。建议使用该插件的wordpress公司网站尽快升级,修复漏洞,以免对网站对公司产生更大的经济损失以及影响。

在其中1个CVE-2020-7048准许未经许可身份认证的普通用户从其他数据表中重置表,而另外一个CVE-2020-7047则是赋予最低管理权限的账号网站管理员管理权限。如果您对网站代码不是太了解,不知道该如何修复wordpress的漏洞,或者是您网站使用的是wp系统开发的,被黑客攻击篡改数据,也可以找专业的网站安全公司来处理解决。

版权声明:本文内容来源于互联网或用户自行发布贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 959677720#qq.cn(#换@) 举报,一经查实,本站将立刻删除。
原文链接:https://www.admin5.com/article/20200302/945128.shtml

相关文章

  • WordPress最新版本网站漏洞修复介绍

    WordPress最新版本网站漏洞修复介绍

    2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经许可身份认证的普通用户给以了系统管理员权限。黑客能......
    03-02
  • wordpress如何判断是否为手机移动设备方法

    wordpress如何判断是否为手机移动设备方法

    本文介绍wordpress如何判断是否为手机移动设备方法 现在手机移动设备越来越普及,也越来越智能,使用手机浏览网页已经比较流行了,所以,作为WordPress主题开发者,你必须好好考虑如何应对手机移动用户了。 这是一段php通用的判断移动浏......
    07-12
  • WordPress博客添加微信和支付宝打赏功能的教程

    WordPress博客添加微信和支付宝打赏功能的教程

    今天小编从WP大学网站看到认为还不错的效果且没有用到插件,于是整理过来分享给你大家,我们现在也可以看到效果感觉还是不错的。可以加上微信、支付宝的收款二维码。 这个打赏功能采用的是无插件,直接CSS实现的,顺带把代码分享出来,如......
    05-20
  • wordpress教程:把页面设置为首页之后分页失效

    wordpress教程:把页面设置为首页之后分页失效

    今天小编在本地测试wordpress的 时候遇到一个奇怪的问题,可能没多少人遇到过类似的问题。因为小编遇到的这个问题是跟wordpress的自定义首页有关,在wordpress后台可以 把网站首页设置为一篇文章或一个静态页面,小编把网站首页设置成文......
    02-01
  • wordpress用户账户重置密码,账户被删除时发送提示邮件

    wordpress用户账户重置密码,账户被删除时发送提示邮件

    不知道大家发现没有,很多知名网站在用户账户密码被修改的时候都会发送一封提醒邮件,来防止网站用户的密码被恶意修改。本来wordpress是属于博客程序,但是最近越来越多的wordpress网站开放了会员中心系统,那么这样一来就不得不考虑到用......
    02-01
  • wordpress教程:使用代码在每篇文章尾部添加版权信息

    wordpress教程:使用代码在每篇文章尾部添加版权信息

    随着互联网的普及,建站门槛的降低,很多没有专业知识的国人也加入到了建站大军之中,最初那批只为了讨论代码的以及建站经验的站长也都消失的差不多了,现在个人建站很少有不带商业目的的。随着网站的增加,但是互联网信息的资源却没有那......
    02-01
  • Tatiana Cherniychuk:权力的游戏角色漫画设计欣赏

    Tatiana Cherniychuk:权力的游戏角色漫画设计欣赏

    【版权声明】本文转自 http://www.sj33.cn/cg/chys/jsch/201710/48147.html 本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,请联系 959677720@qq.com ,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容......
    01-07
  • Illustrator绘制创意的扭曲狗子插画教程

    Illustrator绘制创意的扭曲狗子插画教程

    本教程主要使用Illustrator绘制炫彩风格的扭曲狗子插画,作者拿了最近的一个作品来做个教程。之前好多人问我要AI的教程,其实我自己ai也学得很浅,拿一些简单的工具来大概讲讲就好。只要用到画好的草图一张和AI软件,重点掌握AI钢笔工具......
    01-06
  • 从平面栅格设计看网页中的布局设计

    从平面栅格设计看网页中的布局设计

    网页设计中的脏、乱、差,是我们在设计过程中常会遇到的问题。通常脏是由对色彩使用不当所产生的,而色彩使用不当产生的不好效果也分为:花、灰,花哨、灰头土脸也就是这里所说的脏。而差 基本上是由于我们的技法上不够娴熟所产生的。比......
    01-06
  • 网页配色需尽量不要使用黑色

    网页配色需尽量不要使用黑色

    网页配色需谨慎使用黑色。常常看到一些深色的物体并假设它是黑色的。而实际上在现实中我们很难找到一些纯黑色的物体,道路不是黑的,你办公室的椅子也不是黑的,在电线杆上的麻雀也不是不是黑的,网页甚至上的字体也不是黑的。 影子并不......
    01-06

最新更新