All in One SEO插件漏洞威脅300萬(wàn)網(wǎng)站的安全

為了讓用戶(hù)獲得更好的體驗，網(wǎng)站所有者會(huì )通過(guò)下載很多的插件來(lái)幫助他們改善網(wǎng)站的用戶(hù)體驗。比如一些炫酷的效果等，然而實(shí)際上影響到用戶(hù)真正體驗的卻是清晰的導航、頁(yè)面的加載反應速度以及簡(jiǎn)潔干凈的界面。
加載越多的插件，越容易被黑客找到攻擊的漏洞。所以為了減少網(wǎng)站被攻擊的幾率，需要限制安全插件，并且這些插件需要經(jīng)常檢查，保證更新，及時(shí)將缺陷進(jìn)行修補。
據Sucuri的研究人員稱(chēng)，一個(gè)名為All in One SEO的非常流行的WordPress SEO優(yōu)化插件含有一對安全漏洞，當這些漏洞組合成一個(gè)漏洞鏈進(jìn)行利用時(shí)，可能會(huì )使網(wǎng)站面臨著(zhù)被接管的風(fēng)險。
目前，有超過(guò)300萬(wàn)個(gè)網(wǎng)站在使用該插件。那些擁有網(wǎng)站賬戶(hù)的攻擊者如訂閱者、購物賬戶(hù)持有人或會(huì )員可以利用這些漏洞，這些漏洞包括一個(gè)權限提升漏洞和一個(gè)SQL注入漏洞。
研究人員指出，WordPress的插件現在仍然是網(wǎng)絡(luò )攻擊者破壞網(wǎng)站的一個(gè)重要的途徑。
例如，12月早些時(shí)候，在針對160多萬(wàn)個(gè)WordPress網(wǎng)站的主動(dòng)攻擊中，研究人員發(fā)現有數千萬(wàn)次嘗試利用四個(gè)不同的插件和幾個(gè)Epsilon框架主題的攻擊。
研究人員說(shuō)："WordPress插件仍然是所有網(wǎng)絡(luò )應用的一個(gè)主要風(fēng)險，它們仍然是攻擊者的常規攻擊目標。通過(guò)第三方插件和框架所引入的惡意代碼可以極大地擴展網(wǎng)站的攻擊面"。
提醒網(wǎng)站的所有者，需要對第三方插件和框架保持警惕，并保持安全更新，應該使用網(wǎng)絡(luò )應用程序來(lái)保護網(wǎng)站，以及使用可以發(fā)現網(wǎng)站上存在惡意代碼的解決方案。http://wap.friendlycc.com.cn/