WordPress的一個(gè)最為流行的插件現(xiàn)重大安全漏洞，導(dǎo)致上千萬網(wǎng)站面臨黑客入侵的危險(xiǎn)。

該漏洞由WordPress漏洞掃描器的開發(fā)者瑞恩·迪赫斯特(Ryan Dewhurst)發(fā)現(xiàn)，該插件名為“WordPress SEO by Yoast”，用于網(wǎng)站的搜索引擎優(yōu)化，是最流行的WordPress插件之一，目前下載量已超過1400萬，所有在1.7.3.3及以前的版本均可被SQL盲注攻擊。

該漏洞存在于admin/class-bulk-editor-list-table.php文件中，只有管理員、編輯和作者等授權(quán)用戶可訪問。因此，攻擊者需通過社會(huì)工程的手段欺騙授權(quán)用戶點(diǎn)擊特殊構(gòu)造的鏈接才能激發(fā)漏洞利用程序。之后，漏洞利用程序會(huì)在受害者的網(wǎng)站上執(zhí)行SQL查詢代碼。

瑞恩發(fā)布了一段利用此漏洞的SQL盲注概念驗(yàn)證代碼：

該插件的開發(fā)者在博客中聲稱，已經(jīng)在最新版1.7.4中打上補(bǔ)丁。建議WordPress的網(wǎng)站管理者立刻更新到該插件的最新版本，如果你的WordPress為3.7版本及以上，可按照以下路徑執(zhí)行插件自動(dòng)更新：

Manage > Plugins & Themes > Auto Updates