目前，黑客已經對900,000多個WordPress網站發(fā)起了大規(guī)模攻擊，這些攻擊試圖將訪問者重定向到惡意網站或在取得管理員登錄權限后直接植入后門。

[[325025]]

根據有效載荷，這些攻擊似乎是由一個黑客發(fā)起的，在過去的一個月中，他至少使用了24,000個IP‌地址向900,000多個站點發(fā)送惡意請求。

在4月28日之后，攻擊嘗試有所增加。WordPress安全公司Divisant在5月3日檢測到針對50多萬個網站的2000萬次攻擊。

Defiant高級質量檢查官Ram Gall表示，攻擊者主要集中在插件中的跨站點腳本(XSS)漏洞利用上，這些漏洞雖然在幾個月或幾年前已得到修復，但黑客還是針對沒有更新的用戶進行了攻擊。

將訪問者重定向到惡意網站是妥協(xié)的辦法之一。如果JavaScript是由登錄的管理員的瀏覽器執(zhí)行的，則代碼將嘗試在頭文件中插入一個PHP后門以及另一個JavaScript。

然后，后門獲取另一個有效負載，并將其存儲在主題的標頭文件中，以嘗試執(zhí)行該有效負載。“這種方法可以讓攻擊者保持對網站的控制。”

這樣，攻擊者可以切換到另一個有效負載，該有效負載可能是Webshell，創(chuàng)建惡意管理員的代碼或用于刪除整個網站內容的代碼。今天的報告中包含了最終有效載荷的危害指標。

注意舊的漏洞

Gall說，已檢測到多個漏洞，但以下是最有針對性的漏洞。(請注意，這些易受攻擊的插件要么已從官方存儲庫中刪除，要么已在去年或之前收到修補程序。)

• Easy2Map 插件中的XSS漏洞已于2019年8月從WordPress插件存儲庫中刪除，我們估計該漏洞 可能安裝在不到3,000個站點上。這占所有攻擊的一半以上。
• Blog Designer中的XSS漏洞已于2019年修補。雖然此漏洞是以前活動的目標，但我們估計不超過1,000個易受攻擊的安裝仍然存在。
• 2018年底修補了WP-GDPR-Compliance中的選項更新漏洞，該漏洞允許攻擊者除了更改其他選項外，還更改網站的主URL。此插件的安裝量超過100,000，我們估計有不超過5,000個易受攻擊的安裝仍然存在。
• Total捐贈中存在一個選項更新漏洞，允許攻擊者更改網站的主頁URL。這個插件在2019年初被從Envato市場永久刪除，我們估計總安裝量不到1000個。
• Newspaper主題中的XSS漏洞已于2016年修復。這一漏洞過去也曾成為攻擊目標。

由此看出，WordPress插件漏洞的歷史遺留問題確實存在，建議WordPress網站的管理員應該及時更新他們的插件并刪除那些不在WordPress存儲庫中的插件。