WordPress 最初一款個人博客系統(tǒng)，由于簡單易用便逐漸發(fā)展成了內(nèi)容管理系統(tǒng)，深受廣大人民喜愛。

幾天前，不少網(wǎng)站管理員發(fā)現(xiàn)自己的 WordPress 自動升級到了最新的 4.7.2 版本，正當許多人疑惑不解時，2月2日，安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API （一種接口規(guī)范）存在零日漏洞，攻擊者利用該漏洞可以任意修改網(wǎng)站內(nèi)容。

Sucuri 方面表示，修改 WordPress 網(wǎng)站內(nèi)容時會產(chǎn)生一個修改數(shù)據(jù)包，攻擊者通過 REST API 的構(gòu)造數(shù)據(jù)包內(nèi)容，將 URL 進行簡單修改就可以繞過賬號驗證直接查看網(wǎng)站內(nèi)容。此外還可以在未經(jīng)身份驗證的情況下任意增刪改查文章、頁面及其他內(nèi)容。

據(jù)雷鋒網(wǎng)了解，存在問題的 REST API 自 WordPress 4.7 版本以來就被默認開啟，因此所有使用 4.7 或 4.7.1 版本 Wordpress 的網(wǎng)站都將受到影響。這個漏洞影響范圍有多廣呢？據(jù)有關(guān)數(shù)據(jù)統(tǒng)計，全球至少有1800萬個網(wǎng)站在使用 WordPress，在排名前一萬的網(wǎng)站中，大約有26%的網(wǎng)站都在使用，相當于四個網(wǎng)站里就有一個在用，其普遍程度可想而知。

雖然至發(fā)文時，WordPress 的開發(fā)團隊已經(jīng)在最近推出的 4.7.2 版本更新中修補該漏洞，但可能仍有相當一部分網(wǎng)站沒有開啟自動更新，考慮到 WordPress 的使用者甚多，受影響的網(wǎng)站數(shù)量依然不容小覷。

為了防止漏洞被濫用，Sucuri 方面沒有提供此漏洞的詳盡技術(shù)細節(jié)，但其在博文中寫道：

這一嚴重漏洞，使得攻擊者可以利用多種不同的方法來搞定網(wǎng)站。如果網(wǎng)站安裝了某個插件，可能導(dǎo)致RCE（遠程命令執(zhí)行）?？傊蠹亿s緊更新就對了！雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))在此建議廣大使用 Wordpress 的網(wǎng)站管理員及個人博主，盡快升級到最新的4.7.2版本，否則很可能當你某一天醒過來時發(fā)現(xiàn)自己的網(wǎng)站已經(jīng)被垃圾消息、賭博、色情廣告等不良信息占據(jù)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。