Buggy WordPress 插件允許用戶擦除整個網站
Wordfence 的安全研究人員 - 一個專注於安全的 WordPress 插件 - 在發布平台的另一個插件中發現了一個嚴重的錯誤。該問題是在 WordPress 的 HashThemes Demo Importer 插件中發現的,並且問題的嚴重性非常高。
HashThemes Demo Importer 插件中的錯誤允許已登錄 WordPress 平台並有權訪問網站後端的用戶完全擦除所有內容,包括頁面、文章和媒體,以及該網站使用的數據庫內容。據統計,當發現該漏洞時,約有 8000 個網站啟用了該插件。
演示導入器插件的最初目的是讓基於 WordPress 的站點管理員只需單擊一下即可導入 WordPress 視覺主題和設計的演示。該插件顯著加快了預覽過程,並且不涉及手動處理可能特定於所使用的站點和主題的不同設置文件。
Wordfence 的團隊按照適當的協議披露了該錯誤,但演示導入器開發人員連續數週沒有回應。最後,研究人員將問題直接提交給 WordPress 插件團隊,並在同一天刪除了該插件的錯誤版本。四天后,一個修補和固定的版本被放回原處。
Wordfence 解釋說,該插件的問題在於它使用 Ajax 的方式。該漏洞允許任何已登錄的用戶,即使是那些默認權限和訪問權限非常有限的用戶(例如訂閱者)對網站進行重大更改,包括完全清除運行該插件的網站上的所有內容。
這裡的簡單結論是,您可能想要添加到現有 WordPress 設置中的每個方便的插件都會增加潛在的攻擊面。更豐富的功能和更高的易用性並不總是以犧牲安全性為代價,但對於第三方插件,總是有可能存在一些裂縫並隱藏在顯眼的地方。