由于插件薄弱,数百万个WordPress网站必须被强行修补
在过去的几天里,数以百万计的WordPress网站已经通过强制获得了补丁更新。这是因为UpdraftPlus中存在一个漏洞,UpdraftPlus是一个流行的插件,允许用户创建和恢复网站备份。
开发人员UpdraftPlus要求强制补丁,因为该漏洞将允许任何拥有帐户的人下载整个网站数据库。
数据库通常包含有关客户或站点安全设置的敏感信息,使数百万个站点容易受到严重数据泄露的影响,这些数据泄露会泄露密码、用户名、IP 地址等。
该错误是由Jetpack安全研究员Marc Montpas在插件安全审计期间发现的。"这个漏洞很容易被利用,如果被利用,会有一些非常糟糕的结果,"蒙帕斯说。
"这允许具有低权限的用户下载站点备份,其中包括原始数据库备份。
UpdraftPlus简化了网站数据库的备份和恢复过程,是WordPress内容管理系统在互联网上使用最广泛的计划备份插件。
它简化了对 Dropbox、Google Drive、Amazon S3 和其他云服务的数据备份。它的开发人员表示,它还允许用户安排定期和更快的备份,并使用比竞争WordPress插件更少的服务器资源。
在发现错误后,Montpas于2月21日星期一推出Engadget,上周二立即通知updraftPlus开发人员有关该错误的信息。一天后,他们修复了它,并在不久之后开始强行安装补丁。
共有170万个网站收到了来自300多万用户的补丁。Montpas解释说,UpdraftPlus的主要弱点是没有正确实现WordPress的"心率"功能。
该插件也无法正确检查用户是否具有管理权限。另一个问题是用于验证可由不受信任的用户修改的管理员的变量。
WordPress此前曾在今年早些时候遭到破坏,但通过GoDaddy黑客攻击间接完成,该黑客攻击暴露了120万个帐户。如果您使用UpdraftPlus插件运行WordPress,则应确保该插件在免费版本上自动更新到1.22.4或更高版本,并在高级应用程序上自动更新到2.22.4及更高版本。