目录导航
超过一百万的WordPress网站正在运行易受攻击的Loginizer插件版本[低版本]。
WordPress安全团队上周采取了罕见的措施,并利用鲜为人知的内部功能强行为流行插件推送了安全更新。
运行Loginizer插件的WordPress网站本周已强制更新为Loginizer版本1.6.4。
此版本包含针对危险的SQL注入漏洞的安全修复程序,该漏洞可能使黑客能够接管运行旧版Loginizer插件的WordPress网站。
Loginizer 是当今最受欢迎的WordPress插件之一,拥有超过一百万个站点的安装库。
该插件为WordPress登录页面提供了安全性增强。根据其官方描述,Loginizer可以将访问WordPress登录页面的IP地址列入黑名单或白名单,可以添加对双因素身份验证的支持,还可以添加简单的验证码以阻止自动登录尝试,以及其他许多功能。
在LOGINIZER中发现SQL注入
本周,安全研究员Slavco Mihajloski 披露 了Loginizer插件中的一个严重漏洞。
根据 WPScan WordPress漏洞数据库提供的 描述,此安全漏洞驻留在Loginizer的暴力破解保护机制中,默认情况下,该机制对安装了Loginizer的所有站点都启用。
要利用此错误,攻击者可以尝试使用格式错误的WordPress用户名(其中可以包含SQL语句)登录WordPress网站。
身份验证失败时,Loginizer插件会将失败的尝试以及失败的用户名记录在WordPress网站的数据库中。
但是,正如Slavco和WPScan解释的那样,该插件不会清理用户名,而不会保留SQL语句,从而允许远程攻击者针对WordPress数据库运行代码-安全研究人员将其称为未经身份验证的SQL注入攻击。
WPScan的创始人兼首席执行官Ryan Dewhurst 在一封电子邮件中告诉ZDNet: “它允许未经身份验证的攻击者完全破坏WordPress网站 。”
Dewhurst还指出,Mihajloski在 今天早些时候发表的详细文章中提供了一个简单的概念验证脚本 。
Dewhurst说:“这使具有基本命令行技能的任何人都可以完全破坏WordPress网站。”
强制插件更新受到公众的强烈反对
该错误是近年来在WordPress插件中发现的最严重的安全问题之一,这就是WordPress安全团队似乎决定决定将Loginizer 1.6.4补丁强制推到所有受影响的网站的原因。
Dewhurst告诉 ZDNet ,此“强制插件更新”功能自2013年发布的v3.7开始就已存在于WordPress代码库中。但是,它很少使用。
Dewhurst说:“我本人于2015年在流行的Yoast SEO WordPress插件中发现了一个漏洞,虽然已被强制更新。尽管如此,我发现的漏洞并不像在Loginizer WordPress插件中发现的漏洞那么危险。”
WPScan创始人补充说:“我不知道有任何其他[强制插件更新的情况],但是很可能还有其他情况。“
但是有一个原因,为什么WordPress安全团队不对所有插件漏洞都使用此功能,而仅将其用于不良bug。
上周,Loginizer 1.6.4补丁开始进入WordPress网站后,用户开始在WordPress.org存储库上的插件论坛上抱怨。
“Loginizer已从1.6.3更新到1.6.4,虽然自动我没有激活这个新的WordPress的选项。这怎么可能?”
另一位发言人说:“我也有同样的问题。我所照顾的3个网站都发生过此事,但这些网站都没有设置为自动更新。”
在2015年Dewhurst首次看到WordPress团队部署的插件强制更新功能时,也看到了类似的负面反馈。
我想得越多,WP SEO的自动更新就越令人恼火。
Dewhurst认为该功能并未得到更广泛的使用,因为WordPress团队担心“将损坏的补丁推给那么多用户的风险”。
WordPress核心开发人员塞缪尔·伍德(Samuel Wood)本周表示,该功能已“多次使用”,但未提供有关使用该功能的其他实例的详细信息。自2015年 以来,另一位WordPress开发人员表示,该插件强制更新功能自2013年推出以来仅使用 了五次,确认该功能仅用于严重的bug,这些bug影响数百万个网站,而不仅仅是任何插件漏洞。