数以百万计的世界各地的网站被黑客攻击的危险,因为在WordPress软件漏洞发现用于设计。

WordPress是市场上最受欢迎的内容管理系统和安全形式发现一个缺陷可以让黑客劫持任何网站使用默认主题和插件如果管理员点击恶意链接。

从安全公司研究员大卫·黛德Sucuri说任何WordPress主题或插件,利用一种叫做genericons包在4月7日发表的一篇博客文章中风险。包括TwentyFifteen主题和插件,WordPress的默认主题,以及喷气背包插件。

造成的漏洞是至关重要的跨站点脚本(XSS)在一个不安全的缺陷文件,黛德说example.html,一个是genericons包的一部分。黑客可以控制网站依赖于这些主题使用基于dom的XSS攻击。为了获得,不过,他们将需要一些站点管理员的帮助。对这次袭击,有人以管理员身份登录到WordPress站点必须首先点击恶意链接,这将给黑客完全访问编辑或破坏网站,因为他认为合适的。

幸运的是,黛德说,解决这个问题很简单。你只需要删除或屏蔽example.html文件。Sucuri已经通知它是许多web托管公司工作,所以它可能是你的网站不再是处于危险之中。黛德说以下web托管服务已经固定的漏洞。

•GoDaddy •HostPapa •DreamHost •ClickHost •InMotion •WPEngine •页面 •也 •WebSynthesis •Site5 •SiteGround

WordPress还宣布在一个博客它发布了一个安全更新(4.2.2)标记关键明显消除缺陷。更新补丁Genericons图标字体包,使用在许多流行的主题和插件,它包含一个HTML文件容易跨站点脚本攻击。文章还指出WordPress版本4.2和更早的影响关键的跨站点脚本漏洞,这可能使匿名用户网站妥协。

不过,WordPress的广泛使用意味着可能有成千上万的网站容易受到这种说谎XSS攻击。WordPress持有超过60%的内容管理系统市场和权力大约五分之一的网站,根据最近统计数据。

照片:安东尼瑞安|Flickr