wp博客php代碼網(wǎng)站漏洞修復(fù)詳情

時(shí)間：2020-03-08作者：青島四海通達(dá)電子科技有限公司瀏覽：1011

2020年，剛剛開(kāi)始WordPress博客系統(tǒng)被網(wǎng)站安全檢測(cè)出有插件繞過(guò)漏洞，該插件的開(kāi)發(fā)公司，已升級(jí)了該插件并發(fā)布1.7版本，對(duì)以前爆出的漏洞進(jìn)行了修補(bǔ)，該企業(yè)網(wǎng)站漏洞造成的原因是未經(jīng)許可身份認(rèn)證的普通用戶(hù)給以了系統(tǒng)管理員權(quán)限。黑客能夠以網(wǎng)站管理員的身份進(jìn)行登陸，并可以將wp企業(yè)網(wǎng)站的全部數(shù)據(jù)表信息恢復(fù)為以前的模式，進(jìn)而上傳webshell企業(yè)網(wǎng)站木馬代碼來(lái)進(jìn)行篡改企業(yè)網(wǎng)站?，F(xiàn)階段受危害的版本包含較新的WP系統(tǒng)。

這個(gè)WP插件的主要功能是可以將網(wǎng)站的主題自定義的進(jìn)行外觀設(shè)計(jì)，與導(dǎo)入代碼，讓很多新手不懂代碼設(shè)計(jì)的可以*的掌握該技巧對(duì)網(wǎng)站進(jìn)行外觀設(shè)計(jì)，目前**用該插件的人數(shù)達(dá)到二十五萬(wàn)多企業(yè)網(wǎng)站在使用該插件，也是目前較受環(huán)境的插件。該網(wǎng)站漏洞影響的插件版本，是存在于1.5-1.6版本。根據(jù)目前WP官方的數(shù)據(jù)資料統(tǒng)計(jì)，使用該版本的用戶(hù)以及網(wǎng)站數(shù)量占比竟然達(dá)到百分之95左右，受漏洞影響的網(wǎng)站確實(shí)太多，建議各位站長(zhǎng)盡快對(duì)該插件進(jìn)行升級(jí)，修復(fù)漏洞。

該網(wǎng)站漏洞的利用方式以及條件，必須是該主題插件處于啟用狀態(tài)，并且是公司網(wǎng)站上都安裝了這個(gè)插件才會(huì)受到漏洞的攻擊，讓黑客有攻擊網(wǎng)站的機(jī)會(huì)。SINE安全技術(shù)在實(shí)際的漏洞利用測(cè)試過(guò)程中，也發(fā)現(xiàn)了一些問(wèn)題，插件繞過(guò)漏洞的利用前提是需要有1個(gè)條件來(lái)進(jìn)行，網(wǎng)站的數(shù)據(jù)庫(kù)表中的普通用戶(hù)必須有admin賬戶(hù)存在，目前的網(wǎng)站安全解決方案是盡快升級(jí)該插件到較新版本，有些企業(yè)網(wǎng)站不知道該如何升級(jí)的，先將改插件在后臺(tái)關(guān)閉掉，防止黑客的入侵。

針對(duì)該插件漏洞的修復(fù)辦法，可以在“wdcp_init”的Hook在網(wǎng)站環(huán)境中運(yùn)行，而且還可啟用*通過(guò)身份認(rèn)證的普通用戶(hù)的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份認(rèn)證就使漏洞沒(méi)有利用的機(jī)會(huì)了。假如數(shù)據(jù)表中存有“wdcp”普通用戶(hù)，未經(jīng)許可身份認(rèn)證的黑客機(jī)會(huì)會(huì)應(yīng)用此賬號(hào)登陸，并刪掉全部以已定義的數(shù)據(jù)表前綴打頭的?？梢詫⒃撚脩?hù)刪除掉，以防止網(wǎng)站被攻擊。

只要?jiǎng)h掉了全部表，它將應(yīng)用**設(shè)置和數(shù)據(jù)信息添充數(shù)據(jù)表，隨后將“wdcp”普通用戶(hù)的密碼修改為其此前已經(jīng)知道的登陸密碼。某安全組織于2月6號(hào)檢測(cè)到了該網(wǎng)站插件繞過(guò)漏洞，在同一天將其安全報(bào)告給插件的開(kāi)發(fā)公司。十天之后，也就是上個(gè)星期，主題Grill插件公司，發(fā)布了修復(fù)該網(wǎng)站漏洞的新版本。

在編寫(xiě)這篇文章時(shí)，修補(bǔ)后的插件，較新版本下載數(shù)量達(dá)到二十多萬(wàn)，這說(shuō)明應(yīng)用還有很多企業(yè)網(wǎng)站沒(méi)有修復(fù)漏洞，仍然處在被攻擊的風(fēng)險(xiǎn)當(dāng)中。針對(duì)于WP官方的數(shù)據(jù)安全中心發(fā)布的安全報(bào)告中顯示的兩個(gè)網(wǎng)站漏洞，當(dāng)黑客利用這些網(wǎng)站漏洞時(shí)，都是會(huì)造成和本次安全事件一樣的影響。建議使用該插件的wordpress公司網(wǎng)站盡快升級(jí)，修復(fù)漏洞，以免對(duì)網(wǎng)站對(duì)公司產(chǎn)生較大的經(jīng)濟(jì)損失以及影響。

在其中1個(gè)CVE-2020-7048準(zhǔn)許未經(jīng)許可身份認(rèn)證的普通用戶(hù)從其他數(shù)據(jù)表中重置表，而另外一個(gè)CVE-2020-7047則是賦予較低管理權(quán)限的賬號(hào)網(wǎng)站管理員管理權(quán)限。如果您對(duì)網(wǎng)站代碼不是太了解，不知道該如何修復(fù)wordpress的漏洞，或者是您網(wǎng)站使用的是wp系統(tǒng)開(kāi)發(fā)的，被黑客攻擊篡改數(shù)據(jù)，也可以找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理解決。


青島四海通達(dá)電子科技有限公司專(zhuān)注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測(cè),滲透測(cè)試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測(cè)等, 歡迎致電 13280888826

• 詞條

  詞條說(shuō)明

• 網(wǎng)站存在漏洞被攻擊 該如何防止網(wǎng)站被入侵

  在眾多網(wǎng)站上線后出現(xiàn)的安全漏洞問(wèn)題非常明顯,作為網(wǎng)站安全公司的主管我想給大家分享下在日常網(wǎng)站維護(hù)中碰到的一些防護(hù)黑客攻擊的建議，希望大家的網(wǎng)站都能正常穩(wěn)定運(yùn)行免遭黑客攻擊。1.對(duì)上傳文件的目錄設(shè)定為腳本不能執(zhí)行的權(quán)限要是Web服務(wù)器沒(méi)法解析該文件目錄下的腳本文檔，即便黑客攻擊發(fā)送了腳本制作文檔，網(wǎng)站服務(wù)器自身也不容易受到損害。許多商業(yè)網(wǎng)站的發(fā)送運(yùn)用，上傳文件之后放進(jìn)單獨(dú)的儲(chǔ)存上，做靜態(tài)數(shù)據(jù)文檔解決

• 網(wǎng)站安全報(bào)告 分析2020年的網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

  2020年即將到來(lái)，2019年的網(wǎng)站安全工作已經(jīng)接近尾聲，我們SINE網(wǎng)站安全監(jiān)測(cè)平臺(tái)對(duì)上萬(wàn)客戶(hù)網(wǎng)站的安全防護(hù)情況做了全面的安全分析與統(tǒng)計(jì)，整理出2020年的網(wǎng)站安全監(jiān)測(cè)預(yù)測(cè)報(bào)告，針對(duì)發(fā)現(xiàn)的網(wǎng)站漏洞以及安全事件來(lái)較好的完善網(wǎng)站安全，提供安全防御等級(jí)，防止網(wǎng)站被攻擊，切實(shí)落實(shí)到每個(gè)客戶(hù)的網(wǎng)站上，確保整個(gè)網(wǎng)絡(luò)安全的高速穩(wěn)定發(fā)展。網(wǎng)站安全監(jiān)測(cè)的網(wǎng)站對(duì)象分別為，企業(yè)網(wǎng)站，事業(yè)單位網(wǎng)站，學(xué)校教育網(wǎng)站，個(gè)人站

• 網(wǎng)站安全是什么？ 簡(jiǎn)單理解防御一切黑客的攻擊

  作為一名網(wǎng)絡(luò)安全工程師，“網(wǎng)站安全”這個(gè)詞似乎離生活有些遙遠(yuǎn)，平日里很多人開(kāi)啟計(jì)算機(jī)較多就是登陸網(wǎng)站、瀏覽網(wǎng)站，至于網(wǎng)站安不安全，卻**關(guān)注過(guò)。近些年來(lái)，網(wǎng)絡(luò)安全相關(guān)話題已經(jīng)引起了社會(huì)的廣泛關(guān)注，還記得去年暑期大火的偶像連續(xù)劇《親愛(ài)的熱愛(ài)的》講述了男主希望為中國(guó)拿下CTF大賽不錯(cuò)的夢(mèng)想之路，CTF在網(wǎng)絡(luò)安全領(lǐng)域中指的是網(wǎng)絡(luò)安全技術(shù)人員之間進(jìn)行技術(shù)比拼的一種比賽形式，當(dāng)然，這部劇的成功之處較在于讓許

• 作為滲透測(cè)試公司 該如何對(duì)客戶(hù)網(wǎng)站進(jìn)行信息收集

  在對(duì)客戶(hù)網(wǎng)站以及APP進(jìn)行滲透測(cè)試服務(wù)前，很重要的前期工作就是對(duì)網(wǎng)站，APP的信息進(jìn)行全面的收集，知彼知己，才能較好的去滲透，前段時(shí)間我們SINE安全公司收到某金融客戶(hù)的委托，對(duì)其旗下的網(wǎng)站，以及APP進(jìn)行安全滲透，整個(gè)前期的信息收集過(guò)程，我們將通過(guò)文章的形式分享給大家.不管是安全工程師還是白貓，在滲透測(cè)試過(guò)程中都很清楚，信息收集的重要性，我們SINE安全將以我們的角度去收集，去滲透，首先我們要搞