還記得WordPress在兩周前釋出了WordPress 4.7.2並修補3個安全漏洞嗎?該版本其實還修補了一個涉及未經驗證之權限擴張的重大漏洞,允許駭客自遠端存取、編輯或刪除WordPress的網頁,而今,資安業者Sucuri發現,已有超過6萬個WordPress網站因該漏洞而遭到攻擊,但至截稿為止,數量已超過10萬個。
當WordPress在1月26日釋出WordPress 4.7.2時,公告寫著修補了3個漏洞,分別是跨站指令碼(Cross-site Scripting,XSS)漏洞、資料隱碼(SQL injection)漏洞與Post List Table漏洞。
但在一周後的2月1日,WordPress補充說明WordPress 4.7.2其實還修補了另一個重大的安全漏洞,這是一個藏匿在REST API中的未經驗證權限擴張漏洞,但僅影響WordPress 4.7與WordPress 4.7.1。WordPress表示,雖然透明化可維護大眾的最大利益,但這次他們故意延後一周發布該漏洞訊息是希望騰出一些時間以讓數百萬的WordPress網站來得及更新。
向WordPress揭露此一漏洞的Sucuri則說,就在WordPress公布漏洞的48小時內,網路上便已出現多款攻擊程式,嘗試偵測網路上尚未升級的WordPress網站,並自遠端修改這些網站的內容,而且迄今至少出現了4組駭客人馬,代號分別是w4l3XzY3、Cyb3r-Shia、By+NeT.Defacer,以及 By+Hawleri_hacker。
其中,蔓延最迅速的是w4l3XzY3,若在Google上以by w4l3XzY3進行關鍵字搜尋,可看到已有至少6.7萬個WordPress網站遭到攻擊。
不過,截稿為止,如下圖所示,再以Google搜尋檢視,被恐擊的網站數量已增至11.9萬個。
WordPress為全球最受歡迎的開放源碼內容管理系統,估計全球有超過6000萬個網站採用WordPress。WordPress平台的預設值為自動更新,因此受到攻擊的網站都是變更了該預設值,不只是資安業者,連Google近日都已寄出郵件督促WordPress舊版用戶展開升級。
網頁設計.RWD響應式網站 / 教育人文類
網站技術:PHP/MySql
提供免費的平台註冊成為師傅,教授專業技能與知識;成為會員尋找自己喜歡的師傅,購買教學課程。這裡不僅可以購買課程,甚至也能上架的自己的課程,推出更優質的課程造福許多會員。
精選專案.網頁設計.RWD響應式網站.企業形象網站.無障礙網頁 / 其他類
網站技術:PHP . Javascript/MySql
對於無障礙朋友來說,先天的缺陷不能阻止自己對藝術的熱情。伊甸看到這些藝術家的實力,要將這些精采的作品對外發表。不僅僅是在國內甚至推廣到國外展現台灣的軟實力,此平台正是這些藝術家展現實力的舞台。
網頁設計.RWD響應式網站.企業形象網站 / 環保類
網站技術:PHP . Javascript/MySql
蒐集各縣市雨水使用情況並加以統計、製成圖表與數據顯示,觀察各縣市的用水情形。 舉辦專業人員的研習,增強專業知識與新資訊。網站上也會宣導用水的方法、提倡節約用水的重要性。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策