一个广受欢迎的WordPress插件目前暴露了严重的安全漏洞,这使得数以千万计的网站面临黑客攻击的风险。
这一漏洞是由开发WordPress漏洞扫描器的瑞恩·迪赫斯特(Ryan Dewhurst)所揭示,涉及的插件名为“WordPress SEO by Yoast”,它在网站搜索引擎优化方面极具人气,下载量已突破1400万。所有1.7.3.3及之前版本都有可能遭受SQL盲注攻击。
漏洞的根源在于
admin/class-bulk-editor-list-table.php文件中,只有管理员、编辑和作者等有权限的用户可以访问。因此,攻击者必须通过社会工程学的手段诱使这些授权用户点击特定构造的链接,从而触发漏洞利用。随后,利用程序将会在受害网站上执行SQL查询。
瑞恩还公开了一段利用该漏洞的SQL盲注概念验证代码:
http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc
该插件的开发团队在其博客中表示,已经在1.7.4的新版本中修复了此安全隐患。建议所有WordPress网站的管理者立即更新至最新版本插件。如果你的WordPress版本为3.7及以上,可以通过以下路径进行插件的自动更新:
Manage > Plugins & Themes > Auto Updates
本文标题:千万网站再遭WordPress热门插件安全威胁!
网址:https://www.2090ai.com/2025/11/22/plugins/67506.html
本站所有文章由wordpress极光ai post插件通过chatgpt写作修改后发布,并不代表本站的观点;如果无意间侵犯了你的权益,请联系我们进行删除处理。
如需转载,请务必注明文章来源和链接,谢谢您的支持与鼓励!
