WordPress 內容管理系統的用戶請注意,近日一共有 9 支外掛程式(Plugins)和外觀的佈景主題(Theme)出現嚴重等級的資安問題。這些問題程式內建的 PHP 網頁已經遭到竄改,攻擊者可透過內藏的資安漏洞,上傳任意文件到網站伺服器中,藉以奪取伺服器的管理權限。
這次出現資安威脅的外掛程式,例如「WP Symposium」,便是該外掛目錄下的「server/php/index.php」和「server/php/UploadHandler.php」兩個網頁腳本中被事先寫入危險指令,讓攻擊者得以借殼上傳木馬程式到伺服器中,進而直接下達控制指令管理你的伺服器,進行任何他們想要的動作行為。
目前已知被攻擊者作為跳板使用的境外伺服器,分別位在美國俄亥俄州的哥倫布市(Columbus)與塔爾薩(Tulsa, United States),甚至連科技界最富盛名的山景城(Mountain View)也被攻陷。另外,德國的北萊茵西發利亞邦(Nordrhein-Westfalen, Germany)、瑞典的隆德(Lund, Sweden)、阿拉伯聯合酋長國的迪拜(Dubai, United Arab Emirates),以及法國的瓦朗謝訥(Valenciennes, France)等地電腦端也都有被利用的情況。
攻擊者首先無差別掃描全球 WordPress 伺服器,並且連續針對這 9 大外掛程式和佈景主題進行攻擊,此時只要你的商業網站或部落格有使用下面任何一個外掛,必且平常也不注重資安管理,那麼你的 WordPress 伺服器便可能已經不再安全,甚至有可能搖身一變成為攻擊者的網路傀儡(又稱網路殭屍)。
WordPress 8 大高風險外掛程式與外掛主題
- WP Symposium
- WP Ecommerce Shop Styling
- Candidate Application Form
- Simple Image Manipulator
- WPTF Image Gallery
- Recent Backups
- mTheme Unus
- wp Mobile Detector
2018年08月追加 2 種有問題的外掛程式:
- UnGallery
- WP Support Plus Responsive Ticket System
上面除了 mTheme Unus 這個佈景主題外,其他 7 個外掛程式涵蓋影像管理、網站備份、表單、社交以及風格管理等各層面,算是有計畫性的針對最大用戶群體進行散佈。
至於還一個遭到黑帽駭客鎖定的程式則較為麻煩,因為它是利用 WordPress 原生檔案「admin-ajax.php」進行攻擊,算是近期頗具知名度的一個公開漏洞,被命名為本地文件包含漏洞(Local File Inclusion, LFI),這次也被同一位攻擊者「順便」用於竊取 wp-config.php 這個 WP 網站最重要的設定檔案資料,如果你平常疏於防範,便有可能洩露了自己的資料庫帳密等資訊!
工具人建議各位 WP 站長和部落客,就算你無法親手替 Linux 伺服器強化資安防護,也一定要記得替 WordPress 安裝資安類的外掛程式!我這邊推薦兩套 WP 系統中赫赫有名的程式給大家,算是懶人包式的強化手段,包括:
題外話,這一兩年有很多部落客紛紛從大型平台跳下來成為獨立門戶,雖然架設 WordPress 網站的過程不太困難,但我深覺後續維護管理和對抗外界攻擊真的相當麻煩。
對於想要純粹從事文字創作的朋友來說,是否真的要獨自架設網站也可以從這個角度做些考慮。
要不然就去申請類似 Bluehost 🇺🇸、遠振資訊 Yuan-Jhen 🇹🇼這些伺服器供應商提供的專用 WordPress 伺服器吧,除了價格便宜而且方便使用外,還提供強化過的伺服器和備份等功能,也算是省時省力的一個解決方案。
發佈留言