WordPress XSS跨站脚本漏洞影响多个著名插件

昨天，WordPress团队发布了WP 4.1.2安全更新版本，修补了WP 4.1.1以及之前版本中存在的一个严重的跨站脚本漏洞，并建议网友立即更新到此版本。除此之外，许多著名的WordPress插件也受此漏洞影响而中枪。

这次暴露的WordPress XSS漏洞（Cross-site Scripting，跨站脚本漏洞），是因为许多WP插件开发者不当使用 add_query_arg() 和 remove_query_arg() 函数而引起的；而这些插件开发者之所以使用不当这两个函数，是由于WordPress官方文档中对这两个函数的描述不是很清晰。

在WordPress团队在发布安全更新版本WordPress 4.1.2的同时，网络安全公司Sucuri和Joost（大名鼎鼎的SEO by Yoast插件作者）还检查了WordPress官方插件库中排名靠前的插件。在检查了大约400个插件之后，发现至少有以下10多个插件受到XSS漏洞影响。

• Jetpack
• WordPress SEO by Yoast
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Multiple Plugins from Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• Multiple iThemes products including Builder and Exchange
• Broken-Link-Checker
• Ninja Forms
• Aesop Story Engine 

到目前为止，以上插件已经都已经发布了相应的安全更新版本，修复了XSS漏洞问题。

与WordPress插件目录中37,000个插件相比，400只是个很小的数字。因此，其他的很多插件仍然有可能受到这个漏洞的影响。

对于WordPress普通用户而言，现在所需要做的就是升级你的WordPress网站核心程序以及插件；尤其是关闭了WordPress自动更新功能的用户，请在WordPress后台手动更新。当然，千万别忘了做好备份！

对于WordPress开发者而言，请及时检查你的插件，是否收到了此次漏洞的影响。WordPress开发团队撰写了一篇文章，教你如何修复XSS漏洞问题。