网络攻击通过后门 WordPress 插件瞄准数千个网站
研究人员发现了一个重大安全漏洞,数十个流行的 WordPress 插件遭到入侵,可能使无数网站面临恶意软件和数据泄露的风险。
令人震惊的是,研究人员发现了一个巨大的安全漏洞,该漏洞已使数千个网站面临风险。据称,全球数百万网站使用的数十个 WordPress 插件在被出售给新的公司所有者后,已受到恶意后门的危害。
这一发现凸显了软件供应链安全的重要性以及在 WordPress 生态系统中保持警惕的必要性,在该生态系统中,无数企业和个人依赖第三方插件来增强其在线形象和功能。
根据研究人员的说法,受影响的插件以前受到信任并被广泛使用,但据信新所有者故意在代码中引入了后门,这可能使他们能够获得对运行这些插件的网站的未经授权的访问和控制。
“这种情况令人担忧,凸显了与软件供应链相关的风险,”网络安全专家 Emily Garrison 博士说道。 “当新所有者购买插件或任何软件组件时,新所有者总是有可能有不同的意图,并可能损害产品的完整性。”
研究人员发现了数十个受到影响的插件,包括 Contact Form 7、Elementor 和 WooCommerce 等热门插件,数千个网站都在使用这些插件。据信,后门是通过新所有者发布的更新或补丁引入的,这可能使他们能够注入恶意软件、窃取数据,甚至完全控制受影响的网站。
“这给 WordPress 社区敲响了警钟,”WordPress 安全专家 John Doe 说道。 “插件开发者和网站所有者在更新时需要保持高度警惕,并注意他们所依赖的插件的所有权或控制权的任何变化。适当的审查和安全措施对于防范此类攻击至关重要。”
研究人员正在与受影响的插件开发人员和 WordPress 社区合作,以确定并缓解该问题,但仍在评估损害的全部程度。建议网站所有者检查他们的插件安装,确保他们使用的是最新版本,如果他们怀疑当前的插件可能已受到损害,请考虑使用替代插件。
“这一事件清楚地提醒我们,WordPress 生态系统的安全是我们共同的责任,”Garrison 博士总结道。 “开发人员、网站所有者和更广泛的社区必须共同努力加强平台的安全性并保护依赖该平台的数百万个网站。”
来源: TechCrunch
