當前位置: > >已有超過10萬個未更新的WordPress網站遭受攻擊

已有超過10萬個未更新的WordPress網站遭受攻擊

02-19,IT資訊已有超過10萬個未更新的WordPress網站遭受攻擊最新消息報導,口袋科技網(http://www.fbajfi.live)IT資訊

還記得WordPress在兩周前釋出了WordPress 4.7.2并修補3個安全漏洞嗎?該版本其實還修補了一個涉及未經驗證之權限擴張的重大漏洞,允許駭客自遠端存取、編輯或刪除WordPress的網頁,而今,資安業者Sucuri發現,已有超過6萬個WordPress網站因該漏洞而遭到攻擊,但至截稿為止,數量已超過10萬個。

當WordPress在1月26日釋出WordPress 4.7.2時,公告寫著修補了3個漏洞,分別是跨站指令碼(Cross-site Scripting,XSS)漏洞、資料隱碼(SQL injection)漏洞與Post List Table漏洞。

但在一周后的2月1日,WordPress補充說明WordPress 4.7.2其實還修補了另一個重大的安全漏洞,這是一個藏匿在REST API中的未經驗證權限擴張漏洞,但僅影響WordPress 4.7與WordPress 4.7.1。WordPress表示,雖然透明化可維護大眾的最大利益,但這次他們故意延后一周發布該漏洞訊息是希望騰出一些時間以讓數百萬的WordPress網站來得及更新。

向WordPress揭露此一漏洞的Sucuri則說,就在WordPress公布漏洞的48小時內,網路上便已出現多款攻擊程式,嘗試偵測網路上尚未升級的WordPress網站,并自遠端修改這些網站的內容,而且迄今至少出現了4組駭客人馬,代號分別是w4l3XzY3、Cyb3r-Shia、By+NeT.Defacer,以及 By+Hawleri_hacker。

其中,蔓延最迅速的是w4l3XzY3,若在Google上以by w4l3XzY3進行關鍵字搜尋,可看到已有至少6.7萬個WordPress網站遭到攻擊。

不過,截稿為止,如下圖所示,再以Google搜尋檢視,被恐擊的網站數量已增至11.9萬個。

WordPress為全球最受歡迎的開放源碼內容管理系統,估計全球有超過6000萬個網站採用WordPress。WordPress平臺的預設值為自動更新,因此受到攻擊的網站都是變更了該預設值,不只是資安業者,連Google近日都已寄出郵件督促WordPress舊版用戶展開升級。

聲明:

·凡注明為其他媒體來源的信息,均為轉載自其他媒體,轉載并不代表本網贊同其觀點,也不代表本網對其真實性負責。如系原創文章,轉載請注明出處。

·您若對該稿件內容有任何疑問或質疑,請即聯系,本網將迅速給您回應并做處理。

郵箱:[email protected]

+1 已贊
已有8人贊過
評論13

發表評論請 登錄
  • 最新
  • 最熱
評論舉報

請選擇舉報理由

17 13

已收藏
去我的收藏夾 >

已取消收藏
去我的收藏夾 >

7星彩玩法