WordPress預設主題及JetPack外掛含XSS攻擊漏洞,快更新!
目前已發現兩個使用genericons的服務成為駭客攻擊媒介,一是宣稱可強化WordPress功能的JetPack外掛程式,估計約有超過100萬的安裝數量。第二個則是WordPress所內建並做為預設的Twenty Fifteen主題,因此至少有數百萬的WordPress網站曝露在XSS攻擊風險中。
2015-05-07
Pynnönen說,從去年11月起WordPress便拒絕與Klikki Oy進行安全漏洞上的交流,透過各種管道聯繫WordPress都沒有得到任何的回應,因此這次並沒有事先把此一漏洞提交給WordPress。
2015-04-28
Sucuri:眾多WordPress外掛程式含有XSS攻擊漏洞
由於兩項開發WordPress外掛程式的熱門功能的官方說明文件說明不清,使得許多開發人員錯誤使用,造成眾多外掛程式含有XSS漏洞。
2015-04-22
美國FBI警告:WordPress網站有洞快補,以免遭ISIL支持者攻擊
FBI表示,一些同情ISIL的個人利用相對簡單的技術攻擊外掛程式含漏洞的WordPress網站,然後利用ISIL的名氣吸引外界目光。
2015-04-09
WordPress SEO外掛Yoast修補重大漏洞,上千萬網站受影響
WordPress SEO by Yoast 1.7.3.3含有兩個Blind SQL Injection安全漏洞,允許駭客在含有相關漏洞的網站上執行任何查詢,藉以竊取網站資料,也可能建立新的管理員,直接取得網站的管理權限。
2015-03-13
WordPress傳重大漏洞:網站可能輕易被接管,影響全球超過5000萬個網站!
發現該漏洞的Klikki Oy已開發出概念性攻擊程式,指出此一漏洞讓駭客不需登入就能嵌人惡意程式,同時還能造成伺服器傷害,這也是WordPress自2009年以來最嚴重的漏洞。
2014-11-25
WordPress的cookie臭蟲讓使用者帳號有遭盜用之虞
WordPress用來紀錄使用者登入憑證的cookie並未加密,而是用明文顯示,使得在公開網路使用WordPress的用戶都有帳號被挾持的風險。
2014-05-29
Pingback 遭濫用,16萬WordPress網站淪為DDoS攻擊傀儡
Securi技術長Daniel Cid表示,駭客濫用了Pingback功能,利用至少16.2萬個WordPress網站來癱瘓目標網站。以WordPress架站的使用者,若懷疑自己可能淪為DDoS幫兇,可以檢視網站有否任何XMLRPC檔案的POST請求,倘若當中含有隨機網址的Pingback執行,那麼網站應該已被濫用。
2014-03-13