| Must-Use Plugins | mu-plugins | WordPress
WordPress外掛程式資料夾成網路攻擊溫床!網站被植入惡意程式及垃圾內容
資安業者Sucuri揭露最新一波的WordPress網站攻擊行動,駭客濫用的標的,是特殊屬性的外掛程式資料夾wp-content/mu-plugins/,從而在管理者難以察覺異狀的情況下,暗中於受害網站進行活動
2025-04-01
| WordPress | 會員系統 | User Registration & Membership | CVE-2025-2563
提供會員系統的WordPress外掛存在重大漏洞,6萬網站受到波及
資安業者Wordfence針對網站會員系統外掛程式User Registration & Membership用戶提出警告,指出此WordPress外掛程式存在未經身分驗證權限提升漏洞CVE-2025-2563,用戶應儘速套用新版程式修補
2025-03-27
| WordPress | WP Ghost | CVE-2025-26909 | LFI
WordPress外掛WP Ghost有重大漏洞,高達20萬個網站暴露在這個風險之下
資安業者Patchstack揭露WordPress資安外掛WP Ghost的漏洞CVE-2025-26909,屬於重大層級的本機檔案包含(LFI)弱點,若不處理,攻擊者就有機會遠端利用,而能在網站上執行任意程式碼
2025-03-24
| WordPress | Everest Forms | CVE-2025-1128 | 任意檔案上傳
WordPress表單外掛Everest Forms存在重大漏洞,10萬網站曝險
資安業者Wordfence揭露WordPress表單外掛程式Everest Forms存在重大漏洞,若不處理攻擊者有機會藉此挾帶惡意PHP指令碼,從而在未經身分驗證的情況下,遠端在網站上執行任意程式碼,甚至是挾持整個網站
2025-02-27
| WordPress | Admin and Site Enhancements | ASE | CVE-2024-43333 | CVE-2025-24648
WordPress管理流程強化外掛存在高風險漏洞,逾10萬網站恐曝險
WordPress管理流程改善外掛程式Admin and Site Enhancements(ASE)存在高風險權限提升漏洞,付費及免費的用戶都可能曝險,通報此事的資安業者Patchstack表示,這種漏洞相當特別,能讓使用者回復舊有的權限
2025-02-11
| WordPress | 房地產 | RealHome | Easy Real Estate | CVE-2024-32444 | CVE-2024-32445
供房地產網站使用的WordPress佈景主題、外掛存在重大漏洞,攻擊者有機會得到3萬個網站的管理權限
資安業者Patchstack揭露房仲網站WordPress佈景主題RealHome、外掛程式Easy Real Estate的重大漏洞CVE-2024-32444、CVE-2024-32445,並指出迄今開發商不予理會此事,用戶應停用這些元件避免曝險
2025-01-24
| WordPress | W3 Total Cache | CVE-2024-12365
W3 Total Cache修補高風險漏洞,百萬WordPress網站曝攻擊風險
W3 Total Cache存在CVE-2024-12365高風險漏洞,攻擊者可利用低門檻的訂閱者等級權限發起未授權操作,受影響網站可能超過百萬,網站管理者應立即更新套件至2.8.2版本
2025-01-20
| WordPress | PhishWP | 3DS | OTP
駭客打造惡意WordPress外掛PhishWP,意圖藉由合法網站竊取購物者信用卡資料
資安業者SlashNext揭露網路犯罪圈出現專門挾持信用卡資料的WordPress外掛程式PhishWP,其特別的地方在於,能將竊得的資料即時提供給攻擊者,以便歹徒進一步利用
2025-01-08
| 資料外洩 | WordPress | 供應鏈攻擊 | 網路釣魚攻擊
逾39萬筆WordPress帳密遭竊,攻擊者利用網釣與夾帶後門程式的身分檢查器進行滲透
雲端監控服務業者Datadog指出,他們發現新一波鎖定學術研究員與資安人員的攻擊行動,駭客已從中竊得逾39萬組帳密資料,研究人員研判,這些資料應該是WordPress帳密
2024-12-17
WordPress創辦人Matt Mullenweg以WordPress外掛程式準則第18條名義,將隸屬於WP Engine的進階客製化欄位(Advanced Custom Fields,ACF)外掛程式,分叉成安全客製化欄位(Secure Custom Fields,SCF)
2024-10-14
| Automattic | WP Engine | WordPress | 開源軟體授權
Automattic與WP Engine之爭,遭批評違反開源精神
Ruby on Rails作者、37signals技術長David Heinemeier Hansson批評Automattic向WP Engine要求8%的營收完全不合理,不僅將危害WordPress,還會對開源社群帶來更嚴重的影響
2024-10-11