昨天,WordPress团队发布了WP 4.1.2安全更新版本,修补了WP 4.1.1以及之前版本中存在的一个严重的跨站脚本漏洞,并建议网友立即更新到此版本。除此之外,许多著名的WordPress插件也受此漏洞影响而中枪。
这次暴露的WordPress XSS漏洞(Cross-site Scripting,跨站脚本漏洞),是因为许多WP插件开发者不当使用 add_query_arg() 和 remove_query_arg() 函数而引起的;而这些插件开发者之所以使用不当这两个函数,是由于WordPress官方文档中对这两个函数的描述不是很清晰。
在WordPress团队在发布安全更新版本WordPress 4.1.2的同时,网络安全公司Sucuri和Joost(大名鼎鼎的SEO by Yoast插件作者)还检查了WordPress官方插件库中排名靠前的插件。在检查了大约400个插件之后,发现至少有以下10多个插件受到XSS漏洞影响。
- Jetpack
- WordPress SEO by Yoast
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
- Aesop Story Engine
到目前为止,以上插件已经都已经发布了相应的安全更新版本,修复了XSS漏洞问题。
与WordPress插件目录中37,000个插件相比,400只是个很小的数字。因此,其他的很多插件仍然有可能受到这个漏洞的影响。
对于WordPress普通用户而言,现在所需要做的就是升级你的WordPress网站核心程序以及插件;尤其是关闭了WordPress自动更新功能的用户,请在WordPress后台手动更新。当然,千万别忘了做好备份!
对于WordPress开发者而言,请及时检查你的插件,是否收到了此次漏洞的影响。WordPress开发团队撰写了一篇文章,教你如何修复XSS漏洞问题。
-
1 32步WordPress网站安全终极检查清单:第28~32步
-
2 32步WordPress网站安全终极检查清单:第18~22步
-
3 32步WordPress网站安全终极检查清单:第13~17步
-
4 32步WordPress网站安全终极检查清单:第6~12步
-
5 32步WordPress网站安全终极检查清单:第1~5步
-
6 32步WordPress网站安全终极检查清单 – 目录
-
7 3个过期插件导致8,000个WordPress网站被入侵
-
8 WordPress计划2017年中将PHP推荐版本从5.6升级到7.0
-
9 2016年,为什么外贸网站应该使用Jetpack插件包?
-
10 25个最受用户喜爱的免费WordPress插件:第21个~第25个
Pingback: WordPress 4.2惊现存储型跨站脚本漏洞,正在修复中 - WordPress 非官方中文站