WordPress GDPR Compliance插件漏洞黑客可接管网站

研究人员发现,WordPress GDPR Compliance插件存在关键漏洞允许未经身份验证的黑客提权添加新管理员账户接管网站。

WordPress GDPR Compliance插件漏洞黑客可接管网站

图片来源于pixabay

该插件是WordPress插件目录中最受欢迎的GDPR主题插件之一,安装用户超过10万,可帮助网站符合欧盟通用数据保护法规(GDPR)。黑客可利用该插件中的关键漏洞访问WordPress站点并安装后门脚本。

该漏洞由Wordfence研究人员发现,目前已知的攻击有两种类型。

1.黑客通过修改用户注册系统来添加新管理员账户,在网站上安装后门脚本(文件管理器、终端模拟器和PHP eval()函数运行器等),该攻击方式可允许黑客任意部署有效负载。

2.黑客向WordPress内置任务调度程序(WP-Cron)添加新任务,下载并安装2MB自动编码插件,通过该插件在网站上安装另一个后门脚本,该攻击方式比上一种更隐蔽,不易被发现,且网站所有者无法删除该插件。

截至目前,黑客并未通过后门脚本部署任何恶意内容,GDPR Compliance插件开发团队已在其官方商店停用了该插件,并发布版本1.4.3修复该漏洞。

  1. WordPress标签内链教程,只许修改主题的functions.php文件
  2. 网站教程:WordPress更换域名后无法进入后台的解决办法
  3. WordPress教程:WordPress性能优化,让WordPress飞起来

原创文章,作者:服务器租用,如若转载,请注明出处:https://www.fuwuqizuyong.cc/1929.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

0311-8343-7686

在线咨询:点击这里给我发消息

邮件:564999054@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

微信客服
×