WordPress存在重大弱點部落客請提高警覺

2014 / 07 / 04

編輯部/編譯

知名的WordPress是許多使用者用來架設部落格(blog)的好工具，但是最近被發現存在了重大弱點，可能讓已經下載超過170萬次被用來架站的部落格，受到駭客的入侵而導致失去網站的控制權。

根據網站安全業者Sucuri指出，這項弱點是存在於它所附加的電子報程式MailPoet Newsletters plug-in之中，因為程式中所隱含的安全漏洞(bug)，可能讓攻擊者很容易地獲得網站的管理權限。

資安專家表示，在WordPress中的「Admin_init」是部落格管理人員用來設定使用者是否可上傳檔案的功能元件，通常只能在部落格後台的管理介面中使用，但是存在的程式問題，卻可以讓未經授權的攻擊者上傳任何的PHP檔案。換句話說，惡意人士可以利用藉此來取得網站控制權，進而用來散佈垃圾郵件、存放惡意程式，或是作為跳板來感染其他的網路使用者。

目前，WordPress是許多駭客喜歡用來作為釣魚網站或存放惡意程式的目標，因為透過合法部落格網站的掩護，很容易可以讓一些不知情的使用者掉入陷阱之中，而造成更多網路犯罪事件的發生。

針對這項安全弱點，WordPress已經發佈了更新檔案MailPoet version 2.6.7，呼籲所有使用WordPress的部落格管理人員，應盡快地進行修補，以避免淪為惡意人士的犯罪工具。

WordPress