信息來源：51CTO

WordPress是使用PHP語言開發(fā)的博客平臺，用戶可以在支持PHP和MySQL數(shù)據(jù)庫的服務(wù)器上架設(shè)屬于自己的網(wǎng)站，也可以把 WordPress當(dāng)作一個內(nèi)容管理系統(tǒng)(CMS)來使用。WordPress因其易用性，廣受開發(fā)人員的喜愛。在WordPress世界中有各種各樣的主題和插件，開發(fā)人員可以利用他們輕松地構(gòu)建網(wǎng)站。

相信很多人一開始就被WordPress所吸引，可能是因為其強大的插件系統(tǒng)。盡管WordPress本身存在許多功能缺陷，但它可以通過插件彌補這些缺陷。然而，插件也會存在漏洞，帶來安全風(fēng)險。

近日，據(jù)某外媒報道，Elementor Pro與Ultimate Addons for Elementor這兩個流行的WordPress插件缺陷，正致使數(shù)百萬網(wǎng)站面臨風(fēng)險。其中，Elementor Pro插件是一個網(wǎng)站構(gòu)建器，允許用戶使用拖放構(gòu)建器添加模塊并自定義其網(wǎng)站。其深受用戶歡迎，目前有超過一百萬的活躍用戶。

有關(guān)研究發(fā)現(xiàn)，該Elementor Pro插件存在漏洞易受到黑客攻擊，攻擊者可以利用該漏洞遠程上傳任意文件，從而執(zhí)行未經(jīng)授權(quán)的代碼，這將帶來嚴(yán)重危害。例如，考慮可以以這種方式安裝后門和Web Shell，這兩者都可以使攻擊者為其自身訪問站點的關(guān)鍵部分(例如文件系統(tǒng))創(chuàng)建重復(fù)進行遠程訪問的途徑，執(zhí)行站點數(shù)據(jù)刪除操作。值得注意的是，攻擊者必須是有問題的WordPress網(wǎng)站的注冊用戶，此攻擊才能起作用。

但是，如果由于某些原因無法滿足此先決條件，則有另一個名為Ultimate Addons for Elementor的插件，Ultimate Addons是一個獨特的Elementor小工具庫，可為頁面生成器增加更多的功能和靈活性。

據(jù)悉，該插件的1.24.1及以下版本中存在漏洞，允許某人無需任何管理員批準(zhǔn)的用戶注冊即可攻擊主要Elementor Pro插件。也就是說，WordPress具有不同的用戶角色，其中之一包括訂戶。 在這種情況下，要注冊為訂戶，無需獲得站點管理員的批準(zhǔn)，允許攻擊者自己這樣做，從而利用存在的漏洞。

與所有內(nèi)容一樣，請放心，這些內(nèi)容也都已提供修復(fù)程序。根據(jù)WP行業(yè)安全插件WordFence發(fā)布的準(zhǔn)則指出，Elementor Pro于5月7日發(fā)布補丁，對Elementor Pro的最新版本進行更新將有助于保護您的網(wǎng)站。

Wordfence發(fā)送了一條針對該問題的推文：

在此，專家建議您還可以采取以下預(yù)防措施：

◆主動刪除未經(jīng)您的許可可能已在您的網(wǎng)站上注冊的所有訂戶級用戶，因為這可能表示妥協(xié)(IOC)。

◆請注意一個名為“wp-xmlrpc.php”的文件，因為這也可能是一個IOC，應(yīng)將其刪除。

◆檢查文件管理器中的/wp-content/uploads/elementor/custom-icons/目錄文件夾，以確保在此處未找到攻擊者可能已上傳進行攻擊的未授權(quán)或未知文件。

總而言之，在站點上安裝安全插件也很重要，WordFence或Sucuri都可以工作，它們可以主動掃描您的站點是否存在任何惡意軟件威脅，同時通過實施措施(例如限制直接上傳任何基于PHP的文件。

此外，您還應(yīng)該手動或通過插件對站點進行定期備份，以確保在發(fā)現(xiàn)數(shù)據(jù)被刪除的情況下始終可以恢復(fù)站點。