wp博客php代码网站漏洞修复详情

时间：2020-03-08

2020年，刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞，该插件的开发公司，已升级了该插件并发布1.7版本，对以前爆出的漏洞进行了修补，该企业网站漏洞造成的原因是未经许可身份认证的普通用户给以了系统管理员权限。黑客能够以网站管理员的身份进行登陆，并可以将wp企业网站的全部数据表信息恢复为以前的模式，进而上传webshell企业网站木马代码来进行篡改企业网站。现阶段受危害的版本包含较新的WP系统。

这个WP插件的主要功能是可以将网站的主题自定义的进行外观设计，与导入代码，让很多新手不懂代码设计的可以*的掌握该技巧对网站进行外观设计，目前**用该插件的人数达到二十五万多企业网站在使用该插件，也是目前较受环境的插件。该网站漏洞影响的插件版本，是存在于1.5-1.6版本。根据目前WP官方的数据资料统计，使用该版本的用户以及网站数量占比竟然达到百分之95左右，受漏洞影响的网站确实太多，建议各位站长尽快对该插件进行升级，修复漏洞。

该网站漏洞的利用方式以及条件，必须是该主题插件处于启用状态，并且是公司网站上都安装了这个插件才会受到漏洞的攻击，让黑客有攻击网站的机会。SINE安全技术在实际的漏洞利用测试过程中，也发现了一些问题，插件绕过漏洞的利用前提是需要有1个条件来进行，网站的数据库表中的普通用户必须有admin账户存在，目前的网站安全解决方案是尽快升级该插件到较新版本，有些企业网站不知道该如何升级的，先将改插件在后台关闭掉，防止黑客的入侵。

针对该插件漏洞的修复办法，可以在“wdcp_init”的Hook在网站环境中运行，而且还可启用*通过身份认证的普通用户的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份认证就使漏洞没有利用的机会了。假如数据表中存有“wdcp”普通用户，未经许可身份认证的黑客机会会应用此账号登陆，并删掉全部以已定义的数据表前缀打头的。可以将该用户删除掉，以防止网站被攻击。

只要删掉了全部表，它将应用高级设置和数据信息添充数据表，随后将“wdcp”普通用户的密码修改为其此前已经知道的登陆密码。某安全组织于2月6号检测到了该网站插件绕过漏洞，在同一天将其安全报告给插件的开发公司。十天之后，也就是上个星期，主题Grill插件公司，发布了修复该网站漏洞的新版本。

在编写这篇文章时，修补后的插件，较新版本下载数量达到二十多万，这说明应用还有很多企业网站没有修复漏洞，仍然处在被攻击的风险当中。针对于WP官方的数据安全中心发布的安全报告中显示的两个网站漏洞，当黑客利用这些网站漏洞时，都是会造成和本次安全事件一样的影响。建议使用该插件的wordpress公司网站尽快升级，修复漏洞，以免对网站对公司产生更大的经济损失以及影响。

在其中1个CVE-2020-7048准许未经许可身份认证的普通用户从其他数据表中重置表，而另外一个CVE-2020-7047则是赋予较低管理权限的账号网站管理员管理权限。如果您对网站代码不是太了解，不知道该如何修复wordpress的漏洞，或者是您网站使用的是wp系统开发的，被黑客攻击篡改数据，也可以找专业的网站安全公司来处理解决。

13280888826

词条
词条说明
网站渗透测试安全防护公司何去何从
近期有许多网站渗透测试安全防护从业人员向我咨询就业角度疑问，去甲方公司做安全防护好或者去乙方客户企业做安全防护好，特别是应届毕业生或工作中1到3年的安全防护从业人员。事实上这也是一个不是很好解答的疑问，是因为牵涉的各种因素很多，每一个人的情况也各有不同。但是之所以能够有那么多的人问，更多的是体现了大伙儿对甲方安全防护企业工作和乙方客户企业工作的未知之数，不清楚哪个更合适自个，更多方面的思想观念将
网站渗透测试中溯源技术与授权机制
在众多渗透测试中客户想要了解攻击溯源查找问题,我们Sine安全在日常网站安全检测过程中了解知道黑客是如何攻击和上传木马并进行篡改,以及如何查找日志分析攻击者是通过哪些脚本入口文件进行入侵的，那么本节由我们*的渗透测试主管技术来为大家讲解。6.9.1.1. 基于日志的溯源使用路由器、主机等设备记录网络传输的数据流中的关键信息（时间、源地址、目的地址），追踪时基于日志查询做反向追踪。这种方式的优点
防止网站被攻击的五个网站安全经验分享
网站安全一直以来都是各大网站运营者们比较关注的难题，一个网站平台，要是没有一种安全防护的系统环境，做得再强，也没什么价值，如果遇到被黑客攻击，损失就会非常大。因此，学好如何防范不被黑客攻击，维护好自个儿的网站，是必需的条件。那么，网站运营者如何防止黑客攻击，使网站不受损害呢？相信众多站长都要想自己的网站更加的安全稳定运行，那么接下来由Sine安全技术来为大家分享下经验心得.记得07年的时候互联网上
2020年较新网站安全防护预测报告
2020年即将到来，2019年的网站安全防护工作已经接近尾声，我们SINE网站安全监测平台对上万客户网站的安全防护情况做了全面的安全分析与统计，整理出2020年的网站安全监测预测报告，针对发现的网站漏洞以及安全事件来更好的完善网站安全，提供安全防御等级，防止网站被攻击，切实落实到每个客户的网站上，确保整个网络安全的高速稳定发展。网站安全监测的网站对象分别为，企业网站，事业单位网站，学校教育网站，个