1. David Wu首页
  2. WordPress
  3. WordPress建站教程

WordPress自动更新服务器爆出漏洞,谁都可以将任何内容添加到这个CMS-WordPress安装教程

因而可能给针对整个互联网上约27%的网站发动攻击留下了可趁之机。   互联网上所有网站的逾四分之一有可能因一个之前已打上补丁的安全漏洞而受到危及,这个漏洞会让WordPress的核心更新服务器岌岌可危。 之前就已堵上的远程代码执行漏洞出现在api.wordpress.org里面的一个php Web钩 WP网站建设

因而可能给针对整个互联网上约27%的网站发动攻击留下了可趁之机。

 

互联网上所有网站的逾四分之一有可能因一个之前已打上补丁的安全漏洞而受到危及,这个漏洞会让WordPress的核心更新服务器岌岌可危。

之前就已堵上的远程代码执行漏洞出现在api.wordpress.org里面的一个php Web钩子(webhook),这个钩子让开发人员得以提供一种他们所选择的哈希算法,以证实代码更新是合法有效的。

WordPress安全公司WordFence的首席开发员马特·巴里(Matt Barry)发现,攻击者可以提供其自己的安全性极其薄弱的哈希算法,作为这个验证过程的一部分,从而让共享密钥得以在几个小时的期间遭到蛮力攻击。

企图猜测的速度非常小,小到足以不会引起WordPress安全系统的注意。

钻这个漏洞空子的攻击者随后可以将URL发送到WordPress更新服务器,这些URL被接受后,被发送到所有的WordPress网站。互联网监管服务网站W3techs.com估计,那些网站占整个互联网的27.1%。

巴里说:“通过攻陷api.wordpress.org,攻击者就有可能一下子攻陷全球四分之一以上的网站,这种情形是可以想象的。”

“我们分析了WordPress的代码,结果发现一个安全漏洞可能让攻击者得以在api.wordpress.org上执行自己的代码,并获得对它的访问权。”

“攻陷这台更新服务器会让攻击者得以提供自己的URL来下载软件,并安装到WordPress网站上,这一切是自动的。”

厦门wordpress建站

厦门wordpress建站

WordPress的更新流程示意图(图片来源:WordFence)

攻击者可以采取进一步的措施;一旦被植入后门的更新版或恶意的更新版分发出去,它们可能会禁止默认的自动更新,阻止WordPress修复那些中招的网站。

巴里表示,WordPress并未使用签名验证技术来检查有待安装的更新版,而是信任所有URL和api.wordpress.org提供的软件包。

WordPress的哈希验证过程可能会受到削弱,让攻击者得以使用POST参数原样未转义传递到shell_exec,授予远程代码执行权限,从而危及api.wordpress.org更新服务器。

巴里选择了薄弱的adler32哈希算法,大大减少了处理密码可能所需的哈希数量:从43亿个(232)骤减到100000个至400000个。

巴里说:“这个猜测数量管理起来要容易得多,我们需要将这些猜测发送到api.wordpress.org上的Web钩子,可能会在几小时内发送完毕。一旦Web钩子允许请求,攻击就会在api.wordpress.com上执行外壳命令,从而让我们得以访问底层的操作系统,api.wordpress.org因此中招。”

9月2日,巴里将这个安全漏洞报告给了WordPress的开发者Automattic,五天后就发布了修正版。

不过他仍认为api.wordpress.org是导致依赖其服务器来更新的数百万WordPress网站面临险境的单一故障点。

他表示,自己提出请求,希望探讨这个故障点,而且需要为更新版提供一种验证机制,但是Automattic并没有作出回应。

巴里并非唯一担心缺乏控制的安全研究人员。本周OpenWall安全邮件列表上的探讨描述了理论上的攻击,与这位研究人员近日披露的攻击非常相似。

不过这个想法可以追溯至三年前,当时一个用户提议,应该对更新版实行签名制,可是迄今为止这个想法仍被忽视。

原创文章,作者:网站建设,如若转载,请注明出处:https://www.davidwu.net/archives/129819

服务项目 服务内容 收费标准(元)
开发定制 WordPress主题/插件开发定制 (以最终需求为准)
主题/插件汉化 汉化团队WordPress主题/插件,翻译率95% (以标的主题/插件的句子数量为准)
服务器环境配置 基于您现有服务器,搭建配置网站运行环境,结合我们多年来实战经验,可完美支持WordPress等PHP程序运行,并配置伪静态规则、优化目录权限等问题。服务器我们强烈推荐使用Linux系统。 100元/次
网站托管 若贵站目前尚无技术人员,无法完成服务器环境配置,可选择我们的网站托管服务,直接交付正常运行的WordPress站点,并且无需担心服务器的后续维护工作,一切都由我们来帮您完成。 标配套餐:1000元/年/站点 高配套餐:联系客服获取
网站加速优化 从服务器后端配置优化到WordPress数据库缓存、前端页面缓存、JS和CSS压缩合并,全方位优化网站加载速度,实现秒开。(此服务仅针对(云)服务器/VPS) 500元/次(仅站内优化200元/次)
主题配置 本站所有主题均支持,可快速实现,若有任何问题可以咨询客服解决,若您希望我们提供配置服务,可选购此服务。 英文主题安装 60元/次 汉化主题安装 30元/次
HTTPS配置 HTTPS已经不断普及,并且有着更高的安全性以及SEO上的优待。该服务收取的为服务费,SSL证书产生的费用请自行承担。 100元/次
网站搬家 迁移网站所有文件和数据库信息、网站相关配置的调整、以及迁移中的疑难问题故障排除。 标准收费:500元/次 若网站数据量大,需协商
网站运维 提供整站的运维服务,保证网站正常运行。包含:网站故障定位及排除、网站数据备份和恢复、网站攻击及木马等问题的处理等 标准收费:2000元/年 IP 5000以上需协商

发表评论

邮箱地址不会被公开。 必填项已用*标注