更新时间:2026-01-28 10:59:47
开发经验
26WordPress GDPR 合规性插件中存在一个严重漏洞,未经身份验证的黑客可以利用该漏洞提升权限并添加新的管理员帐户。它已经并将继续被黑客利用来接管网站。
该漏洞影响WordPress 插件WP GDPR 合规性。 WordPress 的GDPR 合规性插件拥有超过100,000 名活跃用户,是WordPress 插件目录中最受欢迎的GDPR 主题插件之一。旨在帮助管理网站和在线商店,使其符合欧盟的《通用数据保护条例》(GDPR)。它支持联系表单、重力表单、WordPress 评论和WooCommerce 等插件。
大约三周前,攻击者似乎发现了该插件中的漏洞,并开始使用它访问WordPress 网站并安装后门脚本。被黑网站的最初报告被制作成另一个插件的支持论坛,但该插件最终作为第二阶段有效负载安装在一些被黑网站上。经过WordPress 安全团队领导的调查,黑客的源头最终被追踪到WP GDPR 合规性,这是所有报告的受感染网站上安装的通用插件。
上周早些时候,WordPress 团队在其代码中发现了几个安全问题后,从官方插件目录中删除了该插件,他们认为这些问题是造成所报告的黑客攻击的原因。该插件在两天前被恢复,但只是在其作者发布了1.4.3 版本(其中包含已报告问题的补丁)之后才恢复。
攻击仍在继续
然而,为WordPress 网站运行Wordfence 防火墙插件的Defiant 公司的安全专家表示,尽管进行了这些修复,但对仍在运行1.4.2 及更早版本的网站的攻击仍在继续。用户应将WP GDPR 合规性插件更新至版本1.4.3 以保护其网站。
该公司的分析师表示,他们继续看到试图利用所报道的WP GDPR 合规安全问题之一的攻击。具体来说,攻击者针对的是WP GDPR 合规性错误,该错误允许他们调用插件的内部函数之一并更改插件的设置,但也适用于整个WordPress CMS。
Wordfence 团队表示,他们目前已知有两种类型的利用此漏洞的攻击。
第一种情况是这样的:
黑客利用漏洞打开网站的用户注册系统;
黑客利用漏洞将新账户的默认角色设置为“管理员”;
黑客注册一个新帐户,该帐户自动成为管理员。这个新帐户通常命名为“t2trollherten”;
黑客将新帐户的默认用户角色设置为“订阅者”;
黑客禁用公共用户注册;
黑客登录他们的新管理员帐户;
然后他们继续在网站上以名为wp-cache.php 的文件形式安装后门。
该后门脚本(如下图所示)包含文件管理器、终端仿真器和PHP eval() 函数运行器。网站上的此类脚本可能允许攻击者随意部署更多有效负载。
但专家还发现了第二种类型的攻击,这种攻击不依赖于创建新的管理员帐户,这种攻击可能会被被黑网站的所有者发现。
第二种据称更安静的技术涉及使用WP GDPR 合规性错误向WP-Cron(WordPress 的内置任务计划程序)添加新任务。
黑客的cron 任务下载并安装了2MB Autocode 插件,攻击者随后使用该插件在网站上上传另一个后门脚本- 也称为wp-cache.php,但与上面详细介绍的不同。
发生这种情况是因为在某些网站上,黑客的漏洞利用例程无法删除2MB 自动编码插件。网站所有者在他们的网站上看到一个新插件并感到恐慌。事实上,在该插件的WordPress 支持论坛上,网站所有者抱怨网站被黑,引发了一项调查,最终导致了WP GDPR 合规性插件。
攻击者正在囤积被黑的网站
Wordfence 团队表示,攻击者似乎并未对被黑网站进行任何恶意攻击。
黑客只是囤积被黑网站,Wordfence 尚未发现他们试图通过后门脚本部署任何恶意内容,例如SEO 垃圾邮件、漏洞利用工具包、恶意软件或其他类型的恶意行为。
使用WP GDPR 合规性插件的网站所有者仍然有时间从其网站更新或删除该插件,并清理任何剩余的后门。他们应该在其网站在搜索引擎排名方面受到影响之前执行此操作,这通常发生在谷歌在定期扫描期间在其域中发现恶意软件之后。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
