Wordpress_Attack_20130413

要知道網站是否使用 WordPress,最簡單又白痴的測試方法就是於網址後方加上 /wp-admn;即使從伺服器端設定了相應的權限,然而只要不出現 404 頁面,那便足以證明該網站採用了 WordPress 作為其網站的 CMS 系統;根據 Wiki 官方資料,現時全球估計有 6000 萬個網站、Web App 正在使用 WordPress 作為基礎而開發。

幸好,Wordpress 亦有十分巨大的開源熱心人士參與開發工作,因此相對於其他 CMS 平台,無容置疑它的更新速度上已是最快的一個平台。近日 WordPress 又有更新釋出了。

今次 WordPress 釋出了 WordPress 4.2.2 更新。此更新主要修正了一系列 XSS 漏洞。早前我們曾詳細介紹過 XSS 的原理,有興趣可到以下連結查看。

http://www.hkitblog.com/?p=23318

簡單來說,XSS  就是通過一些較差的編程方式,並借助網頁的互動性如如搜尋欄位、留言位置更甚者是登入位置等等,通過好好利用這些「入口」,黑客便可以作所謂的 XSS(Cross Site Script)攻擊,並從中植入各種惡意指令,例如引導用户至虛假頁面,並從中偷取用户的個人資料。

而今次 WordPress 之所以作出重大安全更新,其主要原因便是與 XSS 有莫大關係。據知此漏洞最先於 WordPress 官方附送的 Theme - Twenty Fifteen 之中的 Genericons icon font package 內發現,當中包含了能夠被黑客利用作為發動 XSS 攻擊的 HTML 編寫手法漏洞。

WordPress 指出,所有於 WordPress 官方平台之中提供的 Theme 已經修正了有關漏洞,然而來自第三方平台如 Themeforest 等,卻難免仍存在有關漏洞;而 WordPress 4.2.2 便主力於 wp-content 之中找出了帶有漏洞的 HTML 檔案並將之刪除。

另外,此次更新亦順道就 WordPress 的 Core 程式進行優化,從而減少能被借用作為 XSS 攻擊的機會。

請立即更新你的 WordPress 以確保安全。


 WordPress 4.2.2 修正重大漏洞:趕快更新避免成為 XSS 攻擊基地

 https://www.facebook.com/hkitblog