已影響 84,000個(gè)網(wǎng)站，WordPress 插件存在高危漏洞

近日，WordPress安全公司W(wǎng)ordfence的研究人員發(fā)現一項嚴重的漏洞，它可以作用于三種不同的WordPress插件，并已影響超過(guò)84000個(gè)網(wǎng)站。
該漏洞的執行代碼被追蹤為CVE-2022-0215，是一種跨站請求偽造(CSRF) 攻擊，通用安全漏洞評分系統（CVSS）對其給予8.8的評分。
該漏洞影響了 Xootix維護的三個(gè)插件：
Login/Signup Popup插件（超過(guò) 20000 次安裝）
Side Cart Woocommerce(Ajax)插件 （超過(guò) 4000 次安裝）
Waitlist Woocommerce (Back in stock notifier)插件（超過(guò) 60000 次安裝）
這三個(gè)XootiX插件設計的初衷旨在為 WooCommerce 網(wǎng)站提供增強功能。Login/Signup Popup 插件允許添加登錄和注冊彈出窗口到標準網(wǎng)站和運行WooCommerce插件的網(wǎng)站。Waitlist WooCommerce 插件允許添加產(chǎn)品等待列表和缺貨項目通知。Side Cart Woocommerce 插件通過(guò) AJAX 提供支持使網(wǎng)站上的任何地方使用都可以使用購物欄。
WordPress 用戶(hù)必須檢查其網(wǎng)站上運行的版本是否已更新為這些插件可用的最新修補版本，即“登錄/注冊彈出窗口”的 2.3 版，“Waitlist Woocommerce”的 2.5.2 版（有庫存通知程序） )”，以及“Side Cart Woocommerce (Ajax)”的 2.1 版。
據了解，WordPress 通過(guò)其豐富強大的接口和設計理念能夠通過(guò)插件實(shí)現功能擴展，是個(gè)非常不錯的特色，很多站長(cháng)們都會(huì )借助插件來(lái)實(shí)現一些特殊需要的功能擴展。
但是，插件是一把雙刃劍，帶來(lái)了功能擴展的同時(shí)也意味著(zhù)將要損失運行性能和安全性。這點(diǎn)兒只要有經(jīng)驗的站長(cháng)才能深刻體會(huì )到，新手一般剛開(kāi)始對此的感受基本是“零”，因為隨著(zhù)站長(cháng)們搭建的網(wǎng)站運營(yíng)時(shí)間的增長(cháng)，各種安全隱患基本也就迎面而來(lái)了。
建站還是要奉勸個(gè)人站長(cháng)們使用 WordPress 插件一定是慎重，能不用的就盡量不要用，在瀏覽和學(xué)習某些教程的時(shí)候注意看看教程文章的發(fā)布日期，超過(guò)一年以上的就不要過(guò)分相信了，現在技術(shù)的更迭基本上半年就是一次不小的跨度了，所以看技術(shù)教程很講時(shí)效性的。
 此外，一個(gè)企業(yè)的網(wǎng)站安全是基礎保障，網(wǎng)站建設對企業(yè)來(lái)說(shuō)雖說(shuō)有不同的目的，但是網(wǎng)站上的數據安全無(wú)論是對公司還是用戶(hù)來(lái)說(shuō)都是非常重要的，站最基本的是要保持網(wǎng)站的安全。作為企業(yè)來(lái)講，還是要借助專(zhuān)業(yè)的建站人員和正規的建站網(wǎng)站來(lái)進(jìn)行網(wǎng)站制作：http://wap.friendlycc.com.cn/