WordPress严重漏洞修补后未即时公告，但仍有黑客趁机发动攻击

   <p style="text-align:center"><img alt="WordPress严重漏洞修补后未即时公告，但仍有黑客趁机发动攻击" src="https://simg.open-open.com/show/45ecee4ec8b1be154c1d4061f0f65bc8.png" /></p>    <p>开源的内容管理软件 WordPress，被不少公司、团体、个人采用，做为架设博客甚至网站的工具。但是 WordPress 却被传出好几个漏洞。但是 WordPress 官方最初公告有 3 个修补，其实有个最严重的漏洞也有修补了，但是基于信息安全防护理由，未对外公开。</p>    <p>WordPress 修补的 4 个信息安全漏洞，像是跨站脚本攻击、SQL 注入攻击。所幸<a href="/misc/goto?guid=4958999653351814667">最新版本的 WordPress 4.7.2</a> 修补上述为数众多的漏洞，其中最严重的部分是 WordPress REST API 的漏洞，能让黑客不必登入，就能够远程增加、减少、修改网站内容。这个严重漏洞并未第一时间告知大家，也在这次更新之中，深怕黑客知道之后，趁还有没更新的站台时大举入侵。WordPress 打算先让大部分的 WordPress 站台的自动更新机制发挥作用。</p>    <p>根据回报的信息安全公司 Sucuri 人员 Marc-Alexandre Montpas 在 2 月 1 日发布的<a href="/misc/goto?guid=4958999653446683417">文章说法</a>，网站使用 WordPress 4.7.0 升级之后，就有这个未第一时间表明的漏洞。他发现该漏洞之后，在 1 月 20 时通知 WordPress，着手提供修补。另外还有观察网络上是否有不肖人士利用该漏洞，通知信息安全公司和网站空间服务商。1 月 26 日 WordPress 发布新的 4.7.2 版本，公布修补 3 个漏洞，但其实最严重的漏洞也有一并修补，但为了避免让黑客知道这个严重的漏洞，先压下来不对外发布，避免黑客利用资讯差，对未更新的网站发动攻击。</p>    <p><img alt="WordPress严重漏洞修补后未即时公告，但仍有黑客趁机发动攻击" src="https://simg.open-open.com/show/eefef42d945fb57de079652187fff345.png" /></p>    <p style="text-align:center">▲ 从漏洞被发现后累积的数量。(来源：Sucuri)</p>    <p>尽管 WordPress 在 4.7.2 发布的更新已经修补漏洞，而且也没有第一时间全面告知，而是先修补等待大家都更新软件才公开。根据 Sucuri 的另一篇<a href="/misc/goto?guid=4958999653533020289">文章</a>指出，有黑客组织运用 WordPress REST API 的漏洞，发动 4 波 SEO Spam 攻击。其中 w4l3XzY3 这一波攻击造成超过 66,000 个页面遭到修改，其他 3 波攻击规模就小，只有 500 多个页面受到影响。</p>    <p><img alt="WordPress严重漏洞修补后未即时公告，但仍有黑客趁机发动攻击" src="https://simg.open-open.com/show/7c106250db44d30cb344036d103b6a21.png" style="margin-left:auto; margin-right:auto" /></p>    <p style="text-align:center">▲ 用 Google 查询 w413XzY3 的 SEO spam 数量，有 66,000 个页面受影响。(来源：Sucuri)</p>    <p>许多人使用的 Google Search Console，原先叫 Google Webmaster，有发信息提醒旗下网站要赶紧升级 WordPress 版本，但用词不当引起误会了。尽管 Google 是好意提醒，但是很多已经升级的网站却被搞得很紧张，因为很多收到通知的人并不是那么熟技术。</p>    <p>信息安全漏洞常常会出现，因此软件不时会发布修补程序。对使用者来说可是要时时紧盯软件是否有最新的版本，假若是重大更新可要赶快升级。</p>    <h3>相关链接</h3>    <ul>     <li><a href="/misc/goto?guid=4958999653632797875">Google Makes WordPress Site Owners Nervous Due to Confusing Security Alerts</a></li>     <li><a href="/misc/goto?guid=4958999653720993924">Critical WordPress update fixes zero-day flaw unnoticed</a></li>     <li><a href="/misc/goto?guid=4958999653811015296">Thousands of WordPress websites defaced through patch failures</a></li>     <li><a href="/misc/goto?guid=4958999653907396797">Attackers Capitalizing on Unpatched WordPress Sites</a></li>    </ul>    <p>来自: <a href="/misc/goto?guid=4958999653998193576" id="link_source2">technews.cn</a></p>