最新公告
  • 如遇下载失效问题,请在个人中心里提交工单,客服24小内为您解决!立即加入我们
  • WordPress最新版本网站漏洞修复探讨_建站经验

    WordPress最新版本网站漏洞修复探讨_建站经验插图

    升级SVIP会员,尊享全站资源无限下载

    2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经许可身份认证的普通用户给以了系统管理员权限。黑客能够以网站管理员的身份进行登陆,并可以将wp企业网站的全部数据表信息恢复为以前的模式,进而上传webshell企业网站木马代码来进行篡改企业网站。现阶段受危害的版本包含最新的WP系统。

    这个WP插件的主要功能是可以将网站的主题自定义的进行外观设计,与导入代码,让很多新手不懂代码设计的可以迅速的掌握该技巧对网站进行外观设计,目前全球用该插件的人数达到二十五万多企业网站在使用该插件,也是目前最受环境的插件。该网站漏洞影响的插件版本,是存在于1.5-1.6版本。根据目前WP官方的数据资料统计,使用该版本的用户以及网站数量占比竟然达到百分之95左右,受漏洞影响的网站确实太多,建议各位站长尽快对该插件进行升级,修复漏洞。

    该网站漏洞的利用方式以及条件,必须是该主题插件处于启用状态,并且是公司网站上都安装了这个插件才会受到漏洞的攻击,让黑客有攻击网站的机会。SINE安全技术在实际的漏洞利用测试过程中,也发现了一些问题,插件绕过漏洞的利用前提是需要有1个条件来进行,网站的数据库表中的普通用户必须有admin账户存在,目前的网站安全解决方案是尽快升级该插件到最新版本,有些企业网站不知道该如何升级的,先将改插件在后台关闭掉,防止黑客的入侵。

    针对该插件漏洞的修复办法,可以在“wdcp_init”的Hook在网站环境中运行,而且还可启用无需通过身份认证的普通用户的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份认证就使漏洞没有利用的机会了。假如数据表中存有“wdcp”普通用户,未经许可身份认证的黑客机会会应用此账号登陆,并删掉全部以已定义的数据表前缀打头的。可以将该用户删除掉,以防止网站被攻击。

    只要删掉了全部表,它将应用高级设置和数据信息添充数据表,随后将“wdcp”普通用户的密码修改为其此前已经知道的登陆密码。某安全组织于2月6号检测到了该网站插件绕过漏洞,在同一天将其安全报告给插件的开发公司。十天之后,也就是上个星期,主题Grill插件公司,发布了修复该网站漏洞的新版本。

    在编写这篇文章时,修补后的插件,最新版本下载数量达到二十多万,这说明应用还有很多企业网站没有修复漏洞,仍然处在被攻击的风险当中。针对于WP官方的数据安全中心发布的安全报告中显示的两个网站漏洞,当黑客利用这些网站漏洞时,都是会造成和本次安全事件一样的影响。建议使用该插件的wordpress公司网站尽快升级,修复漏洞,以免对网站对公司产生更大的经济损失以及影响。

    在其中1个CVE-2020-7048准许未经许可身份认证的普通用户从其他数据表中重置表,而另外一个CVE-2020-7047则是赋予最低管理权限的账号网站管理员管理权限。如果您对网站代码不是太了解,不知道该如何修复wordpress的漏洞,或者是您网站使用的是wp系统开发的,被黑客攻击篡改数据,也可以找专业的网站安全公司来处理解决。

    2020-03-02

    重要提示,重要提示,重要提示:
    1、本站资源来源于网络收集,少部份经简单测试后上传。
    2、不排除在某个功能上存在有其它的BUG或源码残缺的可能,购买后一率不能退款。
    3、资源下载不含技术服务,需付费安装请联系客服100元/次。
    4、文件储存在网盘,如发现链接或者密码有误,请联系客服。
    5、如果付款后下载不了,请提交工单说明,客服会在24小时内解决,如果解决不了,会为您退款。
    6、工单功能在会员中心里面.
    7、侵权反馈邮箱:yutongyuncom@qq.com
    顺风猫 » WordPress最新版本网站漏洞修复探讨_建站经验

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    顺风猫
    一个高级程序员模板开发平台