WordPress漏洞可能会让黑客劫持你整个网站

一个Word Press插件被发现包含“容易利用的”安全问题，攻击者可以利用这些问题来获得对脆弱网站的完全控制。

该插件被称为WP数据库重置，它用于重置数据库，而不必经过标准的Word Press安装过程。安全问题有可能影响到许多网站，因为Word Press图书馆说它活跃在超过80,000个网站上。

根据公司的说法，Word Fense安全团队发现了两个严重的漏洞，其中任何一个漏洞都可以用来强制一个完整的网站重置或接管。

Wordfense的Chloe Chamberland在一篇博客文章中解释了这些漏洞对网站的破坏性，他说：

“Word Press数据库存储构成网站的所有数据，包括帖子、页面、用户、网站选项、评论等。只要几次简单的点击和几秒钟的时间，一个未经认证的用户就可以将整个Word Press安装清除，如果该安装使用的是该插件的脆弱版本。

第一个关键的安全缺陷被跟踪为CVE-2020-7048，由于没有通过任何检查来保护数据库重置功能，它可以允许任何用户在没有身份验证的情况下重置任何数据库表。

Word Fense发现的另一个漏洞被跟踪为CVE-2020-7047，它允许任何经过认证的用户授予自己的管理特权，同时也使他们能够“通过简单的请求将所有其他用户从表中删除”。

Wordfense首先让WP数据库重置的开发人员在1月8日验证了他们的发现后意识到了安全问题。开发商于1月13日作出回应，并承诺第二天发布补丁，几天后公开披露漏洞。

WP数据库重置插件的用户应尽快更新到最新版本（3.15版），以防止他们的网站被黑客劫持或完全清除。