1,000+ WordPress sites compromised through automatic update feature

WordPress的自动升级功能本意是帮助站长更新WordPress,保持核心文件漏洞最少、干净无毒。但讽刺的是,很多WordPress网站却正在通过自动升级感染病毒。该病毒会将访问者重定向到病毒网站、推介者网站、pay-per-click网站或者低质量的PPC搜索结果展示网站。

发现这一现象的人是Denis Sinegubko,Unmask Parasites网站的创始人。他指出发起攻击的人找到一种方法可以向update.php文件添加病毒代码,这个文件是控制WordPress自动更新的文件,自动更新时,病毒会去感染wp-settings.php文件,在这里注入重定向代码。

在自动更新背后,wp_update_core会检查是否有可用更新,不论是插件、主题或者WordPress本身,然后控制WordPress下载更新文件,并自动替换旧的文件,当函数返回时,WordPress应该脱胎换骨,有毒的文件就会被替换掉。然而这一刻,就是wp_update_core函数中的病毒代码开始工作的时刻,它会默默的重新感染(或第一次感染)新的wp-settings.php。因此如果你的update.php被感染,当你自动升级时,重定向脚本就会出现在你的网站。

这个威胁仅针对那些使用自动更新的人,手动更新或者通过Subversion (SBV)更新是安全的。

Denis Sinegubko希望WordPress的开发者能加入一些检测核心文件是否完好干净的功能,并且当核心文件发生变化时警告网站管理员,进一步提升安全性。

该报道原文:1,000+ WordPress sites compromised through automatic update feature

5条留言

  1. 只要不乱用网上的插件及主题,我想自动升级还是很安全的。

    1. 不知道骇客用什么手段更改了update.php文件,这就跟药引子一样,不升级没事,一升级就感染。有时候主机有漏洞也不行,对安全方面的东西我知道的太少,被黑过几次了。

    1. 只要那几个核心文件别被感染就行,现在盯着WordPress的骇客越来越多了,说明WordPress流行度很高,越来越有趣了。

评论功能已关闭