All in One SEO插件漏洞威脅300萬網(wǎng)站的安全

發(fā)布時(shí)間：2024-02-24

為了讓用戶獲得更好的體驗(yàn)，網(wǎng)站所有者會(huì)通過下載很多的插件來幫助他們改善網(wǎng)站的用戶體驗(yàn)。比如一些炫酷的效果等，然而實(shí)際上影響到用戶真正體驗(yàn)的卻是清晰的導(dǎo)航、頁面的加載反應(yīng)速度以及簡(jiǎn)潔干凈的界面。
加載越多的插件，越容易被黑客找到攻擊的漏洞。所以為了減少網(wǎng)站被攻擊的幾率，需要限制安全插件，并且這些插件需要經(jīng)常檢查，保證更新，及時(shí)將缺陷進(jìn)行修補(bǔ)。
據(jù)sucuri的研究人員稱，一個(gè)名為all in one seo的非常流行的wordpress seo優(yōu)化插件含有一對(duì)安全漏洞，當(dāng)這些漏洞組合成一個(gè)漏洞鏈進(jìn)行利用時(shí)，可能會(huì)使網(wǎng)站面臨著被接管的風(fēng)險(xiǎn)。
目前，有超過300萬個(gè)網(wǎng)站在使用該插件。那些擁有網(wǎng)站賬戶的攻擊者如訂閱者、購(gòu)物賬戶持有人或會(huì)員可以利用這些漏洞，這些漏洞包括一個(gè)權(quán)限提升漏洞和一個(gè)sql注入漏洞。
研究人員指出，wordpress的插件現(xiàn)在仍然是網(wǎng)絡(luò)攻擊者破壞網(wǎng)站的一個(gè)重要的途徑。
例如，12月早些時(shí)候，在針對(duì)160多萬個(gè)wordpress網(wǎng)站的主動(dòng)攻擊中，研究人員發(fā)現(xiàn)有數(shù)千萬次嘗試?yán)盟膫€(gè)不同的插件和幾個(gè)epsilon框架主題的攻擊。
研究人員說：wordpress插件仍然是所有網(wǎng)絡(luò)應(yīng)用的一個(gè)主要風(fēng)險(xiǎn)，它們?nèi)匀皇枪粽叩某Ｒ?guī)攻擊目標(biāo)。通過第三方插件和框架所引入的惡意代碼可以極大地?cái)U(kuò)展網(wǎng)站的攻擊面。