WordPress,非常受欢迎的内容管理平台,目前正在处理一个令人讨厌的插件错误,允许重定向。

什么是WordPress插件?

像大多数博客平台一样,WordPress允许你改变它的默认功能。这是通过添加一些叫做插件的工具来实现的。有些来自WordPress本身,有些是由第三方创建和维护的。任何插件都可能是不安全的,或者编码很差,或者在某些方面受到损害。盗贼也完全有可能制造自己无辜的插件,造成混乱。

插件经常出现在这些问题的新闻中。就在这个月,我们报道了一个容易受到多个漏洞.上个月,它是一个让购物者离开的插件脆弱的跨站点脚本错误和一种JavaScript注入形式。现在有太多的插件,可以肯定的是另一个插件将在不久之后成为最新的妥协。甚至当它不可能100%确定一个插件参与了攻击,你可以结束一个糟糕的局面非常快。我们看看这次发生了什么吧?

Bug导致多达100万个站点出现问题

是的,这次有100万个WordPress站点受到影响,令人吃惊。一个叫做OptinMonster的插件是一个用来让你的网站具有“粘性”的工具。也就是说,让人们在你身边停留更长的时间,将兴趣转化为销售,注册时事通讯,建立你的网站元素,等等。

这个插件依赖于API端点来完成它的工作。API是一种应用程序编程接口,你可以用简单的英语来描述什么是API,在这里做什么

遗憾的是,这似乎有些端点不安全,攻击者用API密钥专为OptinMonster服务设计的服务可能不会有什么好结果。可能会对账户进行更改,也可能会在访问者不知情的情况下将恶意代码放置在网站上。

cve - 2021 - 39341

这个bug被称为cve - 2021 - 39341并在9月底被发现,已经被OptinMonster开发人员解决。被盗的API密钥已经失效,10月7日发布了补丁。未来几周可能会有更多的更新。

如果我的网站上有OptinMonster,我该怎么办?

如果您的API密钥已被撤销,您将不得不创建一个新的密钥。你还应该确保你的插件是最新的。事实上,您应该对所有的插件都这样做。检查它们是否仍在维护,浏览最新评论,看看人们是否突然抱怨某种特殊活动,这可能是值得的。

如果你安装了一些根本不使用的插件,或者只是非常很少使用的插件,那么做一次春季清理是值得的。我们经常在一个新网站上匆忙安装许多插件,在我们知道之前,我们已经忘记了其中一半是什么。他们坐在那里,几个月或几年,只是等待一个诱人的弱点出现。为什么要冒险呢?

有一个多种方式你可以保留你的WordPress站点安全不受伤害在哪里插件而言.我们的建议是花些时间去挖掘杂草,看看你到底在灌木丛中隐藏了什么。