WordPress已经成为最受欢迎的平台之一,可以设置从博客到公司网站的所有内容,但是WordPress漏洞的报告可能会让一些组织担心他们整个在线状态的安全性。一位Sucuri研究员是第一个描述WordPress漏洞细节的人,它可以让黑客使用特定的WordPress"主题"(提供在线用户所看到的外观和感觉的文件或模板)访问网站或博客的数据库。一个名为Slider Revolution的插件,在许多这样的主题中使用,它有一个漏洞
DDoS攻击,第三方可以从使用它的WordPress站点访问、查看或下载文件。
这称为本地文件包含(LFI)攻击,攻击据Trustwave的研究人员称,WordPress漏洞已经成为一个问题好几个月了,但仅仅几周前,就有人在网上发布了关于它的数据。这导致黑客扫描
DDoS攻击的网站可能被利用通过一个LFI攻击,该公司said.PC公司Advisor联系了德国Dajomo拥有的Slider Revolution的开发者ThemePunch,并通过电子邮件被告知插件捆绑的一些主题中可能没有启用自动更新。
该公司表示,Slider Revolution在2月份进行了更新,以解决WordPress的漏洞,但是Sucuri说,在没有提高更多关注度的情况下悄悄地修补这个问题是错误的。"这是一个事情严重出错的例子,"Sucuri的Daniel Cid说说。根据对福布斯来说,WordPress被近五分之一的网站使用,这使得它成为黑客的一个巨大的潜在目标,他们想找到进入各种组织数据库的方法。这篇报道指出了一个叫做WPScan的免费在线服务,可以用来跟踪潜在的DDoS攻击威胁出现。出现同时,一个名为Evato的WordPress主题市场已经创建了一个全面的演示,演示如何用Slider Revolution最好地检查安全问题,并确保插件和相关主题是最新的。
此漏洞仅影响4.2版以上的版本,最新版本的Slider Revolution 4.6已于8月25日发布。随着组织越来越远离定制网站,并利用标准化主题和组件,跟踪此类威胁DDoS攻击需要变得更为优先。WordPress使在线获取内容变得很容易,但它不应该使黑客更容易看到公司想要保留的信息脱机。
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御。