WordPress 后门警报：影响超过 20 万网站的插件中发现安全漏洞

插件中发现后门漏洞，影响超过 20 万网站

最近，一个流行的 WordPress 插件中发现了一个严重的安全漏洞，名为 Display Widgets。此后门允许攻击者在受感染的网站上执行恶意代码，从而导致数据泄露、恶意软件感染和网站接管。

后门代码存在于 Display Widgets 2.6.1（6 月 30 日发布）和 2.6.3（9 月 2 日发布）版本中。WordPress.org 官方团队已意识到该问题，并已从官方 WordPress 插件仓库中删除了该插件。在删除时，该恶意插件的安装量已超过 20 万。

后门的严重性

这个后门漏洞的严重性在于，它允许攻击者：

• 执行任意代码： 攻击者可以在受感染的网站上运行他们自己的代码，从而完全控制该网站。
• 窃取敏感数据： 攻击者可以访问网站数据库，窃取用户数据、密码和其他敏感信息。
• 安装恶意软件： 攻击者可以在网站上安装恶意软件，例如键盘记录器或勒索软件，以进一步损害用户和网站。
• 发起网络钓鱼攻击： 攻击者可以使用该后门创建伪造的登录页面或其他网络钓鱼内容，诱骗用户输入其凭据。

受影响版本和缓解措施

使用 Display Widgets 2.6.1 或 2.6.3 版本的网站受到此漏洞的影响。强烈建议所有受影响的网站立即采取以下措施：

• 立即卸载 Display Widgets 插件： 从您的 WordPress 网站中删除受感染的插件。
• 更改所有密码： 更改您网站上的所有用户密码，尤其是管理员密码。
• 扫描恶意软件： 使用安全扫描仪扫描您的网站，查找任何恶意软件或未经授权的活动。
• 更新 WordPress 和所有插件： 确保 WordPress 和所有其他插件都已更新到最新版本。
• 联系您的托管提供商： 如果您无法自行修复该漏洞，请联系您的托管提供商寻求支持。

预防措施

为了防止此类漏洞的未来攻击，建议网站所有者采取以下预防措施：

• 保持更新： 定期更新 WordPress、插件和主题，以修补已知的安全漏洞。
• 使用安全插件： 安装和使用安全插件，例如防火墙、恶意软件扫描仪和备份工具。
• 启用双因素身份验证： 为您的 WordPress 帐户启用双因素身份验证，以增加额外的安全层。
• 限制用户权限： 仅授予用户必要访问权限，以最小化潜在损坏。
• 定期备份您的网站： 定期备份您的网站，以便在发生安全事件时能够还原。

结论

Display Widgets 插件中的后门漏洞是对网站所有者和用户的严重威胁。通过采取适当的缓解措施和预防措施，网站可以保护自己免受此类攻击。通过保持警惕、及时更新和实施最佳安全实践，您可以帮助保护您的网站和用户数据。