WordPress 最初一款個(gè)人博客系統(tǒng)，由于簡(jiǎn)單易用便逐漸發(fā)展成了內(nèi)容管理系統(tǒng)，深受廣大人民喜愛。

幾天前，不少網(wǎng)站管理員發(fā)現(xiàn)自己的 WordPress 自動(dòng)升級(jí)到了最新的 4.7.2 版本，正當(dāng)許多人疑惑不解時(shí)，2月2日，安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API （一種接口規(guī)范）存在零日漏洞，攻擊者利用該漏洞可以任意修改網(wǎng)站內(nèi)容。

Sucuri 方面表示，修改 WordPress 網(wǎng)站內(nèi)容時(shí)會(huì)產(chǎn)生一個(gè)修改數(shù)據(jù)包，攻擊者通過 REST API 的構(gòu)造數(shù)據(jù)包內(nèi)容，將 URL 進(jìn)行簡(jiǎn)單修改就可以繞過賬號(hào)驗(yàn)證直接查看網(wǎng)站內(nèi)容。此外還可以在未經(jīng)身份驗(yàn)證的情況下任意增刪改查文章、頁(yè)面及其他內(nèi)容。

據(jù)雷鋒網(wǎng)了解，存在問題的 REST API 自 WordPress 4.7 版本以來就被默認(rèn)開啟，因此所有使用 4.7 或 4.7.1 版本 Wordpress 的網(wǎng)站都將受到影響。這個(gè)漏洞影響范圍有多廣呢？據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)，全球至少有1800萬(wàn)個(gè)網(wǎng)站在使用 WordPress，在排名前一萬(wàn)的網(wǎng)站中，大約有26%的網(wǎng)站都在使用，相當(dāng)于四個(gè)網(wǎng)站里就有一個(gè)在用，其普遍程度可想而知。

雖然至發(fā)文時(shí)，WordPress 的開發(fā)團(tuán)隊(duì)已經(jīng)在最近推出的 4.7.2 版本更新中修補(bǔ)該漏洞，但可能仍有相當(dāng)一部分網(wǎng)站沒有開啟自動(dòng)更新，考慮到 WordPress 的使用者甚多，受影響的網(wǎng)站數(shù)量依然不容小覷。

為了防止漏洞被濫用，Sucuri 方面沒有提供此漏洞的詳盡技術(shù)細(xì)節(jié)，但其在博文中寫道：

這一嚴(yán)重漏洞，使得攻擊者可以利用多種不同的方法來搞定網(wǎng)站。如果網(wǎng)站安裝了某個(gè)插件，可能導(dǎo)致RCE（遠(yuǎn)程命令執(zhí)行）。總之大家趕緊更新就對(duì)了！

雷鋒網(wǎng)在此建議廣大使用 Wordpress 的網(wǎng)站管理員及個(gè)人博主，盡快升級(jí)到最新的4.7.2版本，否則很可能當(dāng)你某一天醒過來時(shí)發(fā)現(xiàn)自己的網(wǎng)站已經(jīng)被垃圾消息、賭博、色情廣告等不良信息占據(jù)。

雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。