開源的內容管理軟體 WordPress,被不少公司、團體、個人採用,做為架設部落格甚至網站的工具。但是 WordPress 卻被傳出好幾個漏洞。但是 WordPress 官方最初公告有 3 個修補,其實有個最嚴重的漏洞也有修補了,但是基於資安防護理由,未對外公開。
WordPress 修補的 4 個資安漏洞,像是跨站腳本攻擊、SQL 注入攻擊。所幸最新版本的 WordPress 4.7.2 修補上述為數眾多的漏洞,其中最嚴重的部分是 WordPress REST API 的漏洞,能讓駭客不必登入,就能夠遠端增加、減少、修改網站內容。這個嚴重漏洞並未第一時間告知大家,也在這次更新之中,深怕駭客知道之後,趁還有沒更新的站台時大舉入侵。WordPress 打算先讓大部分的 WordPress 站台的自動更新機制發揮作用。
根據回報的資安公司 Sucuri 人員 Marc-Alexandre Montpas 在 2 月 1 日發布的文章說法,網站使用 WordPress 4.7.0 升級之後,就有這個未第一時間表明的漏洞。他發現該漏洞之後,在 1 月 20 日通知 WordPress,著手提供修補。另外還有觀察網路上是否有不肖人士利用該漏洞,通知資安公司和網站空間服務商。1 月 26 日 WordPress 發布新的 4.7.2 版本,公布修補 3 個漏洞,但其實最嚴重的漏洞也有一併修補,但為了避免讓駭客知道這個嚴重的漏洞,先壓下來不對外發布,避免駭客利用資訊差,對未更新的網站發動攻擊。
▲ 從漏洞被發現後累積的數量。(Source:Sucuri)
儘管 WordPress 在 4.7.2 釋出的更新已經修補漏洞,而且也沒有第一時間全面告知,而是先修補等待大家都更新軟體才公開。根據 Sucuri 的另一篇文章指出,有駭客組織運用 WordPress REST API 的漏洞,發動 4 波 SEO Spam 攻擊。其中 w4l3XzY3 這一波攻擊造成超過 66,000 個頁面遭到修改,其他 3 波攻擊規模就小,只有 500 多個頁面受到影響。
▲ 用 Google 查詢 w413XzY3 的 SEO spam 數量,有 66,000 個頁面受影響。(Source:Sucuri)
許多人使用的 Google Search Console,原先叫 Google Webmaster,有發訊息提醒旗下網站要趕緊升級 WordPress 版本,但用詞不當引起誤會了。儘管 Google 是好意提醒,但是很多已經升級的網站卻被搞得很緊張,因為很多收到通知的人並不是那麼熟技術。
資安漏洞常常會出現,因此軟體不時會釋出修補程式。對使用者來說可是要時時緊盯軟體是否有最新的版本,假若是重大更新可要趕快升級。
