Buggy WordPress 插件允许用户擦除整个网站
Wordfence 的安全研究人员 - 一个专注于安全的 WordPress 插件 - 在发布平台的另一个插件中发现了一个严重的错误。该问题是在 WordPress 的 HashThemes Demo Importer 插件中发现的,并且问题的严重性非常高。
HashThemes Demo Importer 插件中的错误允许已登录 WordPress 平台并有权访问网站后端的用户完全擦除所有内容,包括页面、文章和媒体,以及该网站使用的数据库内容。据统计,当发现该漏洞时,约有 8000 个网站启用了该插件。
演示导入器插件的最初目的是让基于 WordPress 的站点管理员只需单击一下即可导入 WordPress 视觉主题和设计的演示。该插件显着加快了预览过程,并且不涉及手动处理可能特定于所使用的站点和主题的不同设置文件。
Wordfence 的团队按照适当的协议披露了该错误,但演示导入器开发人员连续数周没有回应。最后,研究人员将问题直接提交给 WordPress 插件团队,并在同一天删除了该插件的错误版本。四天后,一个修补和固定的版本被放回原处。
Wordfence 解释说,该插件的问题在于它使用 Ajax 的方式。该漏洞允许任何已登录的用户,即使是那些默认权限和访问权限非常有限的用户(例如订阅者)对网站进行重大更改,包括完全清除运行该插件的网站上的所有内容。
这里的简单结论是,您可能想要添加到现有 WordPress 设置中的每个方便的插件都会增加潜在的攻击面。更丰富的功能和更大的易用性并不总是以牺牲安全性为代价,但使用第三方插件,总是有可能存在一些裂缝并隐藏在显眼的地方。