网站漏洞修复探讨

2020年，WordPress博客系统被网站安全部门检测到有一个插件旁路漏洞。插件的开发公司已经升级了插件并发布了1.7版，修复了以前的漏洞。企业网站易受攻击的原因是没有许可证认证的普通用户已经授予系统管理员权限。黑客可以以站长身份登录，可以将wp公司网站的所有数据表恢复到以前的模式，然后上传webshell公司网站木马代码来篡改公司网站。目前，受损版本包含最新的WP系统。

这个WP插件的主要功能是定制网站主题的设计并导入代码，这样很多不懂代码设计的新手可以很快掌握设计网站的技巧。目前，世界上使用该插件的人数已经超过25万，也是目前受环境影响最大的插件。受网站漏洞影响的插件版本存在于版本1.5-1.6中。据WP官方统计，目前使用该版本的用户和网站数量已经达到95%左右，确实有太多的网站受到漏洞的影响。建议站长尽快升级这个插件来修复漏洞。

利用网站漏洞的方式和条件必须是启用主题插件，并将插件安装在公司网站上，这样黑客才有机会攻击网站。正弦安全技术在实际漏洞测试过程中也发现了一些问题。插件绕过漏洞利用的前提是有一个条件。网站数据库表中的普通用户必须有一个管理员帐户。当前的网站安全解决方案是尽快将插件升级到最新版本。有些企业网站不知道如何升级，所以插件应该在后台关闭，以防黑客入侵。

针对插件漏洞的补救措施可以在网站环境中运行在“wdcp_init”的Hook中，也可以启用不需要通过身份验证的普通用户的“/wp-wdcp/wdcp-ajax.tp框架”。缺乏身份验证使得该漏洞变得无用。如果数据表中有一个“wdcp”普通用户，未经授权进行身份验证的黑客将使用此帐户登录，并删除所有以定义的数据表前缀开头的用户。用户可以被删除，以防止网站受到攻击。

只要删除所有的表，它就会用高级设置和数据信息填充数据表，然后将“wdcp”普通用户的密码改为他们以前已经知道的登录密码。一个安全组织在2月6日检测到网站插件旁路漏洞，并在同一天向插件开发公司报告了其安全性