WordPress 最初一款個人博客系統(tǒng)，由于簡單易用便逐漸發(fā)展成了內(nèi)容管理系統(tǒng)，深受廣大人民喜愛。

幾天前，不少網(wǎng)站管理員發(fā)現(xiàn)自己的 WordPress 自動升級到了最新的 4.7.2 版本，正當許多人疑惑不解時，2月2日，安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API （一種接口規(guī)范）存在零日漏洞，攻擊者利用該漏洞可以任意修改網(wǎng)站內(nèi)容。

Sucuri 方面表示，修改 WordPress 網(wǎng)站內(nèi)容時會產(chǎn)生一個修改數(shù)據(jù)包，攻擊者通過 REST API 的構(gòu)造數(shù)據(jù)包內(nèi)容，將 URL 進行簡單修改就可以繞過賬號驗證直接查看網(wǎng)站內(nèi)容。此外還可以在未經(jīng)身份驗證的情況下任意增刪改查文章、頁面及其他內(nèi)容。

據(jù)雷鋒網(wǎng)了解，存在問題的 REST API 自 WordPress 4.7 版本以來就被默認開啟，因此所有使用 4.7 或 4.7.1 版本 Wordpress 的網(wǎng)站都將受到影響。這個漏洞影響范圍有多廣呢？據(jù)有關(guān)數(shù)據(jù)統(tǒng)計，全球至少有1800萬個網(wǎng)站在使用 WordPress，在排名前一萬的網(wǎng)站中，大約有26%的網(wǎng)站都在使用，相當于四個網(wǎng)站里就有一個在用，其普遍程度可想而知。

雖然至發(fā)文時，WordPress 的開發(fā)團隊已經(jīng)在最近推出的 4.7.2 版本更新中修補該漏洞，但可能仍有相當一部分網(wǎng)站沒有開啟自動更新，考慮到 WordPress 的使用者甚多，受影響的網(wǎng)站數(shù)量依然不容小覷。

為了防止漏洞被濫用，Sucuri 方面沒有提供此漏洞的詳盡技術(shù)細節(jié)，但其在博文中寫道：

這一嚴重漏洞，使得攻擊者可以利用多種不同的方法來搞定網(wǎng)站。如果網(wǎng)站安裝了某個插件，可能導(dǎo)致RCE（遠程命令執(zhí)行）?？傊蠹亿s緊更新就對了！

雷鋒網(wǎng)在此建議廣大使用 Wordpress 的網(wǎng)站管理員及個人博主，盡快升級到最新的4.7.2版本，否則很可能當你某一天醒過來時發(fā)現(xiàn)自己的網(wǎng)站已經(jīng)被垃圾消息、賭博、色情廣告等不良信息占據(jù)。

雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。