WordPress是互联网上使用最广泛的网站构建技术。根据最新统计数据，所有互联网网站中超过35％的网站运行WordPress CMS（内容管理系统）版本。

本站也是在WordPress上构建的！当然会比较关注这个WordPress任何有关的漏洞与插件/主题后门！

由于安装数量众多，WordPress是一个巨大的攻击面。与去年相比在过去的几个月中，尝试攻击WordPress的黑客一直处于较低水平。造成这种停机的原因可能是冬季假期，正如我们在前几年所看到的那样，这通常会导致恶意软件和黑客活动在全球范围内放缓，因为黑客也会休息一下。

在过去的几个月中，我发现针对WordPress网站的攻击有所增加！

Wordfence，WebARX和NinTechNet等几家专门研究WordPress安全产品的网络安全公司报告说，对WordPress网站的攻击越来越多。

上个月发现的所有新攻击都集中在利用WordPress插件中的错误，而不是利用WordPress本身。

许多攻击都针对最近修补的插件漏洞，黑客希望在站点管理员安装补丁之前劫持网站。

一些攻击利用了 0 day 漏洞，攻击过程也更加复杂。

以下是4月份发生的一些WordPress攻击活动的摘要，这些活动针对WordPress插件漏洞。

建议网站管理员更新以下列出的所有WordPress插件，因为它们很可能在整个2020年甚至更长时间内都将被利用。

Duplicator：

根据Wordfence的一份报告，自2月中旬以来，黑客利用了Duplicator中的一个漏洞，该插件允许站点管理员导出其站点的内容。

该漏洞在1.3.28中修复，攻击者可以从中导出站点副本，从中提取数据库凭据，然后劫持WordPress站点的底层MySQL服务器。

Profile Builder Plugin：

Profile Builder插件的免费和专业版本中还有另一个主要的bug。该漏洞允许黑客在WordPress网站注册未经授权的管理员帐户。

该漏洞于2月10日修补，但攻击始于2月24日，即POC代码在网上发布的同一天。据报道，至少有两个黑客组织正在利用这个漏洞。

超过65000个站点（50000个使用免费版本，15000个使用商业版本）易受攻击，除非他们将插件更新到最新版本。

ThemeGrill Demo Importer：

据信，利用上述插件的同两个黑客组织还将目标锁定在ThemeGrill演示导入程序中的一个bug上，ThemeGrill是一家商业WordPress主题供应商，该插件附带ThemeGrill出售的主题。

攻击，已经被Wordfence、WebARX和Twitter上的独立研究人员证实。POC代码也可以在线获得。建议用户尽快更新到v1.6.3。

ThemeREX Addons：

还发现针对ThemeREX Addons的攻击，该插件是预装所有ThemeREX商业主题的WordPress插件。

根据Wordfence的报告，攻击始于2月18日，当时黑客在插件中发现了一个零日漏洞，并开始利用该漏洞在易受攻击的网站上创建恶意管理员帐户。

尽管攻击仍在进行中，但始终没有提供修补程序，建议站点管理员尽快从其站点中删除该插件。

Flexible Checkout Fields for WooCommerce：

攻击还针对运行WooCommerce插件的“ 灵活结帐字段”插件的网站，该插件安装在20,000多个基于WordPress的电子商务网站上。

黑客使用了一个（现在已修补）的零日漏洞来注入XSS攻击，该攻击可以在已登录管理员的仪表板中触发。XSS有效加载使黑客能够在易受攻击的站点上创建管理员帐户。

Async Java, 10Web Map Builder for Google Maps, Modern Events Calendar Lite