由于插件薄弱，数百万个WordPress网站必须被强行修补

在过去的几天里，数以百万计的WordPress网站已经通过强制获得了补丁更新。这是因为UpdraftPlus中存在一个漏洞，UpdraftPlus是一个流行的插件，允许用户创建和恢复网站备份。

开发人员UpdraftPlus要求强制补丁，因为该漏洞将允许任何拥有帐户的人下载整个网站数据库。

数据库通常包含有关客户或站点安全设置的敏感信息，使数百万个站点容易受到严重数据泄露的影响，这些数据泄露会泄露密码、用户名、IP 地址等。

该错误是由Jetpack安全研究员Marc Montpas在插件安全审计期间发现的。"这个漏洞很容易被利用，如果被利用，会有一些非常糟糕的结果，"蒙帕斯说。

"这允许具有低权限的用户下载站点备份，其中包括原始数据库备份。

UpdraftPlus简化了网站数据库的备份和恢复过程，是WordPress内容管理系统在互联网上使用最广泛的计划备份插件。

它简化了对 Dropbox、Google Drive、Amazon S3 和其他云服务的数据备份。它的开发人员表示，它还允许用户安排定期和更快的备份，并使用比竞争WordPress插件更少的服务器资源。

在发现错误后，Montpas于2月21日星期一推出Engadget，上周二立即通知updraftPlus开发人员有关该错误的信息。一天后，他们修复了它，并在不久之后开始强行安装补丁。

共有170万个网站收到了来自300多万用户的补丁。Montpas解释说，UpdraftPlus的主要弱点是没有正确实现WordPress的"心率"功能。

该插件也无法正确检查用户是否具有管理权限。另一个问题是用于验证可由不受信任的用户修改的管理员的变量。

WordPress此前曾在今年早些时候遭到破坏，但通过GoDaddy黑客攻击间接完成，该黑客攻击暴露了120万个帐户。如果您使用UpdraftPlus插件运行WordPress，则应确保该插件在免费版本上自动更新到1.22.4或更高版本，并在高级应用程序上自动更新到2.22.4及更高版本。