视频: American English - AA [æ] Vowel - How to make the AA Vowel (可能 2024)
如果您拥有WordPress网站,请确保您掌握最新信息-不仅是针对核心平台的更新,还包括所有主题和插件的更新。
WordPress为全球超过7, 000万个网站提供支持,使其成为网络犯罪分子的诱人目标。 攻击者经常劫持易受攻击的WordPress安装来托管垃圾邮件页面和其他恶意内容。
研究人员在过去几周内发现了这些流行的WordPress插件中的许多严重漏洞。 检查管理员仪表板,并确保已安装最新版本。
1. MailPoet v2.6.7可用
网络安全公司Sucuri的研究人员在MailPoet中发现了一个远程文件上传漏洞,该插件可让WordPress用户创建新闻稿,发布通知并创建自动回复。 该插件以前被称为wysija-newsletters,已被下载超过170万次。 开发人员修复了2.6.7版中的漏洞。 早期版本都容易受到攻击。
Sucuri首席技术官Daniel Cid在周二的博客中说:“应该认真对待这个错误;它使潜在的入侵者有能力在受害者的网站上做任何他想做的事情。” “它允许任何PHP文件上传。这可以使攻击者使用您的网站来诱骗网络钓鱼,发送垃圾邮件,托管恶意软件,感染(在共享服务器上的)其他客户,等等!”
Sucuri发现,该漏洞假定进行特定调用来上传文件的任何人都是管理员,而没有实际验证用户的身份。 席德说:“这是一个容易犯的错误。”
2. TimThumb v2.8.14可用
上周,一位研究人员发布了TimThumb v2.8.13中一个严重漏洞的详细信息,该插件可让用户自动裁剪,缩放和调整图像大小。 TimThumb背后的开发人员Ben Gillbanks修复了2.8.14版中的漏洞,该漏洞现已在Google Code中提供。
根据Sucuri的分析,该漏洞位于TimThumb的WebShot功能中,并且允许攻击者(无需身份验证)通过将恶意代码注入易受攻击的站点来远程删除页面并修改内容。 WebShot使用户可以获取远程网页并将其转换为屏幕截图。
Cid写道:“通过一个简单的命令,攻击者就可以创建,删除和修改服务器上的任何文件。”
由于默认情况下未启用WebShot,因此大多数TimThumb用户不会受到影响。 但是,仍然存在远程执行代码的风险,因为WordPress主题,插件和其他第三方组件使用TimThumb。 实际上,在“全面披露”列表中披露了该漏洞的研究员Pichaya Morimoto表示,WordThumb 1.07,WordPress画廊插件和IGIT Posts Slider Widget可能会受到攻击,而且它们也可能很容易受到攻击。
如果启用了WebShot,则应通过打开主题或插件的timthumb文件并将WEBSHOT_ENABLED的值设置为false来禁用它,Sucuri建议。
实际上,如果您仍然使用TimThumb,那么该考虑逐步淘汰它了。 Incapsula最近的一项分析发现,针对WordPress网站的所有远程文件包含攻击中,有58%与TimThumb有关。 由于核心WordPress平台现在支持帖子缩略图,因此Gillbanks自2011年以来一直未维护TimThumb(以修复为零的一天)。
Gillbanks说:“自2011年以前的TimThumb安全漏洞出现之前,我就没有在WordPress主题中使用过TimThumb。”
3.多合一SEO Pack v2.1.6可用
6月初,Sucuri研究人员在ONE SEO Pack All中披露了特权升级漏洞。 该插件为搜索引擎优化了WordPress网站,该漏洞使用户即使没有管理员权限也可以修改标题,描述和元标记。 Sucuri说,此错误可能与第二个特权升级漏洞(也已修复)联系在一起,可以将恶意的JavaScript代码注入网站的页面中,并“执行一些操作,例如更改管理员的帐户密码,以在Webiste的文件中保留一些后门。”
根据一些估计,大约1500万个WordPress网站使用“多合一SEO包”。 管理该插件的公司Semper Fi在上个月的2.1.6中推出了修复程序。
4. Login Rebuilder v1.2.3可用
上周的《 US-CERT网络安全公告》包含两个影响WordPress插件的漏洞。 第一个是Login Rebuilder插件中的跨站点请求伪造缺陷,攻击者可以利用该缺陷劫持任意用户的身份验证。 本质上,如果用户在登录WordPress网站时查看了恶意页面,则攻击者将能够劫持该会话。 根据国家漏洞数据库的说法,这种不需要身份验证的攻击可能导致未经授权的信息泄露,修改和站点破坏。
1.2.0和更早版本容易受到攻击。 开发人员12net上周发布了新版本1.2.3。
5. JW Player v2.1.4可用
US-CERT公告中包含的第二个问题是JW Player插件中的跨站点请求伪造漏洞。 通过该插件,用户可以在WordPress网站上嵌入Flash和HTML5音频和视频剪辑以及YouTube会话。 攻击者将能够远程劫持诱骗访问恶意网站的管理员的身份验证,并将视频播放器从该站点中删除。
2.1.3版和更早版本容易受到攻击。 开发人员上周修复了版本2.1.4中的漏洞。
定期更新很重要
去年,Checkmarx分析了WordPress上下载量最大的50个插件和十大电子商务插件,并在20%的插件中发现了常见的安全问题,例如SQL注入,跨站点脚本编写和跨站点请求伪造。
Sucuri上周警告说,成千上万的WordPress网站遭到黑客攻击,垃圾邮件页面已添加到服务器上wp-includes核心目录中。 Cid警告说:“ SPAM页面隐藏在wp-includes中的随机目录中。” 例如,可以在/ wp-includes / finance / paydayloan下找到这些页面。
尽管Sucuri没有关于这些网站如何遭到破坏的“明确证据”,但Cid写道:“几乎在所有情况下,这些网站都在运行过时的WordPress安装或cPanel。”
WordPress的插件和核心文件的更新过程相当轻松。 网站所有者需要定期检查并安装所有更新的更新。 还值得检查所有目录,例如wp-includes,以确保未知文件未被占用。
Cid说:“任何网站所有者想要做的最后一件事就是稍后发现他们的品牌和系统资源已被用于邪恶的行为。”
