最近，安全研究公司Sucuri表示， 一個流行的Wordpress插件MailPoet被懷疑可能存在漏洞， 能夠讓黑客取得對站點的完全控制。MailPoet是一個Wordpress下流行的用于制作和管理推廣郵件的插件，下載量超過170個。

“如果你在你的站點中激活了這一插件， 那么很可能你的站點會被黑客完全控制。”Sucuri的CTO Daniel Cid在博客中寫道：“黑客不需要站點的任何帳號， 就可以利用這個漏洞， 這是一個很嚴重的威脅， 意味著每個安裝了這個插件的站點都可能受到威脅。”

這個漏洞使得黑客可以遠程上傳任意文件。 Daniel Cid沒有透露更多的信息， 只是指出， 這個漏洞源自人們的一個錯誤認識， 那就是在Wordpress中， 只有具備管理員權(quán)限的用戶訪問Wordpress的管理界面時Wordpress才會啟動管理進程admin_init。 事實上， 任何調(diào)用/wp-admin/admin-post.php也會綁定管理進程， 而且不需要用戶認證。 這樣一來使得黑客有可能上傳文件到存在漏洞的服務(wù)器上。 目前安全的MailPoet版本是2.6.7. 用戶需要立刻進行更新。

“人們必須認真對待這個漏洞， 因為他能夠使得黑客能夠?qū)δ愕木W(wǎng)站為所欲為。 它使得黑客可以上傳任何PHP文件。 這樣， 黑客還可以利用你的網(wǎng)站來進行釣魚， 發(fā)送垃圾郵件， 或者放置惡意代碼來感染其他用戶。”

內(nèi)容管理系統(tǒng)如Wordpress和Joomla的插件的安全性一直為人們所詬病。史上12大著名安全后門植入案例中有兩例就是與內(nèi)容管理系統(tǒng)插件有關(guān)。 前不久的攻擊北美和歐洲工控系統(tǒng)的黑客集團“蜻蜓” 也是利用里內(nèi)容管理系統(tǒng)的漏洞開始攻擊的第一步的。 因此， 作為網(wǎng)站管理人員， 特別是采用了Wordpress的網(wǎng)站， 一定要密切注意安全更新。 及時進行安全升級。

原文地址：http://www.aqniu.com/industry-case-study/web-companies/3669.html