臉書的WordPress聊天外掛含有安全漏洞，允許駭客接管聊天功能

專門研究WordPress外掛程式安全性的Wordfence在本周指出，臉書替WordPress設計的聊天外掛程式The Official Facebook Chat Plugin含有安全漏洞，將允許駭客接管該WordPress網站的聊天功能，進而假冒該站管理員以欺騙該站用戶。

The Official Facebook Chat基本上就是一個把臉書Messenger功能，嵌入WordPress網站的外掛程式，網站管理員可將該外掛程式連結到該站的臉書粉絲頁，還能設定常見問題或自動回覆功能，迄今有8萬個WordPress網站採用。

不過，Wordfence發現，臉書是藉由一個AJAX行動來建立網站與臉書粉絲頁的連結，但是該AJAX行動卻無法檢查連結請求的可靠性，而允許駭客發送請求，並以冒牌的粉絲頁取代。根據研究人員的分析，任何通過該WordPress網站驗證的使用者，就算只是一般的訂閱用戶，都能夠傳送請求來更新該外掛程式所連結的粉絲頁面。

這類的漏洞將是社交工程攻擊的最佳媒介，因為當駭客接管了網站的傳訊功能時，就能假冒網站身分，要求用戶提供個人資訊，或者是把粉絲頁參數留白，等於是關閉了該站的傳訊能力，破壞該站的聲譽，而且不管是使用者或網站管理員可能都無法在第一時間察覺，因為雙方的溝通管道已被攔截。

Wordfence是在今年的6月26日發現了該漏洞，並知會臉書，臉書則於7月23日更新了該外掛程式。