| WordPress | 房地產 | RealHome | Easy Real Estate | CVE-2024-32444 | CVE-2024-32445

供房地產網站使用的WordPress佈景主題、外掛存在重大漏洞,攻擊者有機會得到3萬個網站的管理權限

資安業者Patchstack揭露房仲網站WordPress佈景主題RealHome、外掛程式Easy Real Estate的重大漏洞CVE-2024-32444、CVE-2024-32445,並指出迄今開發商不予理會此事,用戶應停用這些元件避免曝險

2025-01-24

| WordPress | W3 Total Cache | CVE-2024-12365

W3 Total Cache修補高風險漏洞,百萬WordPress網站曝攻擊風險

W3 Total Cache存在CVE-2024-12365高風險漏洞,攻擊者可利用低門檻的訂閱者等級權限發起未授權操作,受影響網站可能超過百萬,網站管理者應立即更新套件至2.8.2版本

2025-01-20

| WordPress | PhishWP | 3DS | OTP

駭客打造惡意WordPress外掛PhishWP,意圖藉由合法網站竊取購物者信用卡資料

資安業者SlashNext揭露網路犯罪圈出現專門挾持信用卡資料的WordPress外掛程式PhishWP,其特別的地方在於,能將竊得的資料即時提供給攻擊者,以便歹徒進一步利用

2025-01-08

| 資料外洩 | WordPress | 供應鏈攻擊 | 網路釣魚攻擊

逾39萬筆WordPress帳密遭竊,攻擊者利用網釣與夾帶後門程式的身分檢查器進行滲透

雲端監控服務業者Datadog指出,他們發現新一波鎖定學術研究員與資安人員的攻擊行動,駭客已從中竊得逾39萬組帳密資料,研究人員研判,這些資料應該是WordPress帳密

2024-12-17

| WordPress | WP Engine

WordPress擅自分叉WP Engine的ACF外掛

WordPress創辦人Matt Mullenweg以WordPress外掛程式準則第18條名義,將隸屬於WP Engine的進階客製化欄位(Advanced Custom Fields,ACF)外掛程式,分叉成安全客製化欄位(Secure Custom Fields,SCF)

2024-10-14

| Automattic | WP Engine | WordPress | 開源軟體授權

Automattic與WP Engine之爭,遭批評違反開源精神

Ruby on Rails作者、37signals技術長David Heinemeier Hansson批評Automattic向WP Engine要求8%的營收完全不合理,不僅將危害WordPress,還會對開源社群帶來更嚴重的影響

2024-10-11

| WordPress | 外掛程式 | WooCommerce | TI WooCommerce Wishlist | CVE-2024-43917 | SQL注入

購物網站外掛TI WooCommerce Wishlist存在重大漏洞,恐影響10萬網站

WordPress外掛程式TI WooCommerce Wishlist出現重大層級漏洞CVE-2024-43917,資安廠商發現此問題通報該軟體的供應商,但歷經2個月之久,開發商遲遲未回應及處理,建議用戶應考慮停用、刪除外掛程式

2024-10-01

| WordPress | WP Engine | Automattic

Automattic與WP Engine撕破臉,禁止WP Engine存取WordPress資源

Automattic在9月26日封鎖WP Engine存取WordPress.org的能力,代表由WP Engine代管的WordPress用戶,將無法直接自後臺系統執行更新或安裝WordPress主題與外掛程式

2024-09-27

| WordPress | LiteSpeed Cache | CVE-2024-44000

WordPress網站加速外掛LiteSpeed Cache再傳漏洞,6百萬網站曝露於遭到挾持的風險

研究人員揭露WordPress網站加速外掛LiteSpeed Cache高風險漏洞CVE-2024-44000,若無法及時修補或緩解,攻擊者可能藉此獲取管理員權限並挾持網站

2024-09-11

| WordPress | LiteSpeed Cache | CVE-2024-28000

WordPress網站加速外掛LiteSpeed Cache存在重大漏洞,500萬網站伺服器曝險

兩家資安業者針對WordPress外掛程式LiteSpeed Cache用戶提出警告,指出近期修補的重大漏洞CVE-2024-28000,已出現相關攻擊行動,迄今仍有近4成網站可能曝險

2024-08-27

| WordPress | GiveWP | PHP | Property Oriented Programming | Magic Methods

供用戶贊助經營者的WordPress外掛程式GiveWP存在重大漏洞,10萬網站逾半數曝險

資安業者Wordfence揭露外掛程式GiveWP重大層級漏洞CVE- 2024-5932,若不修補,攻擊者有機會遠端執行任意程式碼、刪除檔案,甚至進一步接管網站

2024-08-21

| 滲透測試 | WordPress | 偷渡式下載 | Nim | HTA | AMSI | WLDP

駭客鎖定以色列政府機關及企業組織,意圖散布以開源工具打造的惡意程式GrassHopper

研究人員揭露一起相當罕見的惡意軟體攻擊行動,但特別的是,當中採用的惡意程式GrassHopper,其實是結合兩種可公開取得的開源工具:Shell Code生成框架Donut、滲透測試框架Sliver,打造而成

2024-07-09