在过去的几天里,数以百万计的WordPress网站已经通过强制获得了补丁更新。这是因为UpdraftPlus中存在一个漏洞,UpdraftPlus是一个流行的插件,允许用户创建和恢复网站备份。
开发人员UpdraftPlus要求强制补丁,因为该漏洞将允许任何拥有帐户的人下载整个网站数据库。
数据库通常包含有关客户或站点安全设置的敏感信息,使数百万个站点容易受到严重数据泄露的影响,这些数据泄露会泄露密码、用户名、IP 地址等。
该错误是由Jetpack安全研究员Marc Montpas在插件安全审计期间发现的。"这个漏洞很容易被利用,如果被利用,会有一些非常糟糕的结果,"蒙帕斯说。
"这允许具有低权限的用户下载站点备份,其中包括原始数据库备份。
UpdraftPlus简化了网站数据库的备份和恢复过程,是WordPress内容管理系统在互联网上使用最广泛的计划备份插件。
它简化了对 Dropbox、Google Drive、Amazon S3 和其他云服务的数据备份。它的开发人员表示,它还允许用户安排定期和更快的备份,并使用比竞争WordPress插件更少的服务器资源。
在发现错误后,Montpas于2月21日星期一推出Engadget,上周二立即通知updraftPlus开发人员有关该错误的信息。一天后,他们修复了它,并在不久之后开始强行安装补丁。
共有170万个网站收到了来自300多万用户的补丁。Montpas解释说,UpdraftPlus的主要弱点是没有正确实现WordPress的"心率"功能。
该插件也无法正确检查用户是否具有管理权限。另一个问题是用于验证可由不受信任的用户修改的管理员的变量。
WordPress此前曾在今年早些时候遭到破坏,但通过GoDaddy黑客攻击间接完成,该黑客攻击暴露了120万个帐户。如果您使用UpdraftPlus插件运行WordPress,则应确保该插件在免费版本上自动更新到1.22.4或更高版本,并在高级应用程序上自动更新到2.22.4及更高版本。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
