最近,WordPress的一款极受欢迎的插件暴露出严重的安全漏洞,这使得数以千万计的网站面临被黑客攻击的风险。
这一安全隐患是由漏洞扫描专家瑞恩·迪赫斯特(Ryan Dewhurst)发现的,涉及的插件名为“WordPress SEO by Yoast”。作为市场上下载量最高的WordPress插件之一,该插件的下载次数已超过1400万次,所有版本在1.7.3.3及之前的均受到SQL盲注攻击的威胁。
漏洞的根源在于
admin/class-bulk-editor-list-table.php文件中,只有系统的管理员、编辑和作者等授权用户可以访问该文件。因此,攻击者必须通过社会工程学手段,诱使授权用户点击特制的链接,才能激活该漏洞。激活后,攻击程序将能够在受害者的网站上执行SQL查询。
瑞恩还发布了一段示例代码,用以演示如何利用这一漏洞进行SQL盲注:
http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc
针对这一问题,插件的开发团队在其博客上表示,已在最新版本1.7.4中修复了该漏洞。建议所有使用WordPress的网站管理员立即将插件更新至最新版本。若您的WordPress版本为3.7及以上,可通过以下路径进行自动更新:
Manage > Plugins & Themes > Auto Updates
本文标题:千万网站面临威胁:WordPress热门插件新漏洞曝光!
网址:https://www.2090ai.com/2025/09/13/plugins/62100.html
本站所有文章由wordpress极光ai post插件通过chatgpt写作修改后发布,并不代表本站的观点;如果无意间侵犯了你的权益,请联系我们进行删除处理。
如需转载,请务必注明文章来源和链接,谢谢您的支持与鼓励!
