研究人员称，WordPress PHP 的一个关键安全漏洞一年来未修补，有可能破坏无数运行CMS 的网站。

近日，Secarma 研究员Sam Thomas 在曼彻斯特举行的BSides 技术网络安全会议上表示，该漏洞允许攻击者利用WordPress PHP 框架，导致整个系统受到危害。

如果域允许文件上传（例如图像格式），攻击者可以上传精心制作的缩略图文件，以通过“phar://”流包装器触发文件操作。反过来，这些漏洞会触发外部实体（XXE-XML）和服务器端请求伪造（SSRF）漏洞，从而导致平台代码反序列化。虽然这些缺陷最初可能只会导致信息泄露并且风险可能较低，但它们可能成为更严重的远程代码执行攻击的途径。

安全研究人员表示，尚未收到CVE 编号的核心漏洞位于/wpincludes/post.php 中的wp_get_attachment_thumb_file 函数内，当攻击者获得对“file_exists”调用中使用的参数的控制时，可能会触发该漏洞。

当序列化变量转换回PHP 值时，就会发生反序列化。当自动加载到位时，这可能会导致代码被加载和执行，攻击者可以利用它来破坏基于PHP 的框架。

该公司表示：“攻击者控制的数据的反序列化是一个已知的严重漏洞，可能导致恶意代码的执行。”

反序列化问题于2009 年被发现，此后人们认识到可能损害PHP 系统完整性的漏洞，例如CVE-2017-12934、CVE-2017-12933 和CVE-2017-12932。

数以百万计的网站管理员使用WordPress 内容管理系统(CMS) 来管理域名，这意味着如果此漏洞被利用，可能会出现大量受害者。

据Secarma 称，CMS 提供商在2017 年2 月就意识到了该安全问题，但“尚未采取行动”。

“这项研究延续了最近令人担忧的趋势，表明对象（非）序列化是几种现代语言不可或缺的一部分。”托马斯说，“我们必须始终意识到这些机制对攻击者的安全影响。”该漏洞最初是去年通过WordPress HackerOne 漏洞赏金计划报告的。这个问题后来得到了证实，托马斯的发现也受到了赞扬。

想知道您的WordPress 网站被黑客攻击的迹象是什么？以下是12 个常见迹象，可帮助您了解您的WordPress 网站是否遭到黑客攻击或遭到破坏。

1.网站流量突然下降如果您的流量统计报告中出现流量突然下降的情况，则可能表明您的WordPress网站已被入侵。有许多恶意软件和特洛伊木马会劫持网站流量并将其重定向到垃圾邮件网站。其中一些不会重定向登录用户，使他们暂时不知道。

流量突然下降的另一个原因是Google 的安全浏览工具，该工具可能会向用户显示有关您网站的警告。每周，Google 都会将大约20,000 个恶意软件网站和大约50,000 个网站标记为网络钓鱼网站。

2. 网站中添加了错误链接WordPress 网站被黑的最常见迹象之一是数据注入。黑客在WordPress 网站上创建了一个后门，允许他们修改WordPress 文件和数据库。

其中一些黑客添加了垃圾邮件网站的链接。它们可以添加到任何地方，通常这些链接将添加到您网站的页脚。删除链接并不能保证它们不会再次侵权，需要找到并修复用于将这些数据注入网站的后门。

3、网站首页被篡改。大多数黑客不会破坏网站的主页，因为他们希望长时间不被发现。但有些黑客可能会破坏它以宣布它已被黑客攻击。这些黑客经常会用自己的信息替换主页，甚至向网站所有者勒索金钱。

4. 无法登录WordPress 如果您无法登录WordPress 网站，则黑客可能已从WordPress 删除了管理员帐户。由于该帐户不存在，因此无法从登录页面重置密码。您可以使用phpMyAdmin 或FTP 添加管理员帐户，但在您弄清楚黑客如何进入该网站之前，该网站仍然不安全。

5. 存在可疑的用户帐户。如果网站开放用户注册并且没有使用任何垃圾邮件注册保护，那么删除垃圾评论只会删除常见的垃圾邮件。但是，如果您不记得是否允许用户注册，也没有注意是否添加了新的用户帐户，则您的网站可能已被黑客入侵。

通常，可疑帐户具有管理员用户角色，在某些情况下，无法将其从WordPress 管理区域中删除。

6. 服务器上出现未知文件和脚本。如果您使用站点扫描仪插件，当服务器上发现未知文件或脚本时，它会向您发出警报。通过FTP 连接到WordPress 站点发现了恶意文件和脚本，最常见的位置是/wp-content/文件夹。

通常，这些文件被命名为WordPress 文件以隐藏其身份。立即删除这些文件并不能保证这些文件不会被恢复。网站的安全性需要审计，尤其是文件和目录结构。

7. 网站访问缓慢或无响应。互联网上的所有网站都可能成为随机攻击的受害者。这些攻击来自世界各地的多台被黑客入侵的计算机和服务器。他们使用假IP向服务器发送大量请求。这正是黑客入侵网站的目的。此类活动可能会使网站速度缓慢、反应迟钝且无法使用。需要检查服务器日志以查看哪些ip 发出大量请求并阻止它们。

当然，也有一些情况，即使没有被黑，网站也很慢。这种情况我们可以参考：提高WordPress访问速度和性能的四种方法。

8. 服务器日志中存在异常活动。服务器日志是存储在Web 服务器上的纯文本文件。这些文件记录服务器上发生的所有错误以及所有Internet 流量。服务器日志可以告诉您WordPress 网站受到攻击时发生了什么。它们还包含访问该网站的所有IP 地址。我们可以阻止可疑的IP 地址。

9. 无法发送或接收电子邮件被黑客入侵的服务器通常用于处理垃圾邮件。大多数托管提供商提供免费电子邮件帐户，许多WordPress 网站所有者使用其主机的邮件服务器发送WordPress 电子邮件。如果您无法发送或接收WordPress 电子邮件，您的邮件服务器可能已被黑客入侵发送垃圾邮件。

10. 可疑的计划任务Web 服务器允许用户设置cron 作业，您可以将其添加到服务器的计划任务中。 WordPress 本身使用cron 来设置计划任务，例如发布计划帖子、从垃圾箱中删除旧评论等。黑客可以在您不知情的情况下使用cron 在您的服务器上运行计划任务。

11. 被劫持的搜索结果如果您网站上的搜索结果显示不正确的标题或元描述，则表明您的WordPress 网站已被盗用。查看您的WordPress 网站将看到正确的标题和描述。黑客再次利用后门以只有搜索引擎才能看到的方式注入恶意代码并修改网站数据。

12. 网站上出现弹出广告此类黑客试图通过劫持网站流量并向非法网站展示垃圾广告来赚钱。这些弹出窗口不会向登录或直接访问该网站的访问者显示。它们仅向搜索引擎的用户显示。在新窗口中打开广告并且对用户不可见。

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！