严重PHP安全漏洞暴露将使WordPress网站遭受攻击

研究人员声称，一个严重的WordPress PHP安全漏洞漏洞已被搁置一年未经修补，有可能破坏运行CMS的无数网站。

近日，Secarma研究员Sam Thomas 在曼彻斯特举行的BSides技术网络安全会议上表示，这个漏洞允许攻击者利用WordPress PHP框架，从而导致整个系统的妥协。

如果域允许上传文件（例如图像格式），则攻击者可以上传精心设计的缩略图文件，以便通过“phar：//”流包装器触发文件操作。反过来，漏洞会触发eXternal Entity（XXE-XML）和服务器端请求伪造（SSRF）漏洞，这些漏洞会导致平台代码中的反序列化。虽然这些缺陷可能最初只会导致信息泄露并且可能风险较低，但它们可以作为更严重的远程代码执行攻击的途径。

安全研究人员表示，目前尚未收到CVE编号的核心漏洞位于/wpincludes/post.php中的wp_get_attachment_thumb_file函数内，当攻击者获得对“file_exists”调用中使用的参数的控制权时，该漏洞可能会触发。

当序列化变量转换回PHP值时，会发生反序列化。当自动加载到位时，这可能导致代码被加载和执行，攻击者可能会利用它来破坏基于PHP的框架。

“攻击者控制数据的反序列化是一个已知的关键漏洞，可能导致恶意代码的执行，”该公司表示。

反序列化的问题首先在2009年被发现，从那时起，已经认识到PHP系统的完整性可能受到损害的漏洞，例如CVE-2017-12934，CVE-2017-12933和CVE- 2017-12932。

数百万网站管理员使用WordPress内容管理系统（CMS）来管理域名，这意味着如果该漏洞被利用，可能会有巨大的受害者群体。

根据Secarma的说法，CMS提供商在2017年2月意识到安全问题，但“尚未采取行动”。

“这项研究继续令人担忧的近期趋势，证明对象（联合国）序列化是几种现代语言不可分割的一部分。”托马斯说，“我们必须时刻意识到这些机制对攻击者的安全影响。”该漏洞最初是通过去年的WordPress HackerOne bug赏金计划报告的。之后这个问题得到了证实，托马斯因其调查结果而受到赞誉。

想知道哪些迹象代表WordPress网站被黑了？下面分享12个常见常见的迹象弄清楚WordPress网站是否被黑客攻击或入侵。

1、网站流量突然下降

如果你的流量统计报表中流量突然下降，那么这可能表明你的WordPress网站遭到入侵。有许多恶意软件和特洛伊木马程序劫持了网站的流量并将其重定向到垃圾网站。其中一些不会重定向已登录的用户，这使他们暂时察觉不到。

流量突然下降的另一个原因是Google的安全浏览工具，该工具可能会向用户显示关于你网站的警告。每周，Google都会将大约20,000个恶意软件网站和大约50,000个网站标记为钓鱼网站。

2、有错误链接被添加到网站中

被黑客入侵的WordPress网站中最常见的迹象之一是数据注入。黑客在WordPress网站上创建了一个后门，使他们可以修改WordPress文件和数据库。

其中一些黑客添加链接到垃圾网站。它们可以在任何地方添加，通常这些链接会添加到你网站的页脚中。删除链接不能保证他们不会再次侵犯，需要找到并修复用于将此数据注入网站的后门。

3、网站主页被篡改

大多数黑客攻击都不会破坏网站的主页，因为他们希望长时间不被发现。但有一些黑客可能会破坏，以宣布它已被黑客入侵。这些黑客通常会用自己的消息替换主页，甚至向网站所有者勒索钱财。

4、无法登录WordPress

如果无法登录WordPress网站，则黑客可能会从WordPress中删除了管理员帐户。由于该帐户不存在，将无法从登录页面重置密码。但可以使用phpMyAdmin或FTP 添加管理员帐户，但是，在没有弄清楚黑客如何进入网站之前，网站仍然不安全。

5、存在可疑的用户帐户

如果网站对用户开放注册，并且没有使用任何垃圾邮件注册保护，那么删除垃圾评论只是删掉了常见的垃圾。但是，如果不记得是否允许开放过用户注册，并且也没有注意是否添加过新用户帐户，那么你的网站可能已被黑客入侵。

通常，可疑帐户具有管理员用户角色，在特定情况下，无法从WordPress管理区域中删除它。

6、服务器中出现未知文件和脚本

假如你使用了站点扫描程序插件，那么它会在服务器上找到未知文件或脚本时发出提醒。通过FTP连接到WordPress站点，找到恶意文件和脚本，最常见位置是 / wp-content / 文件夹。

通常，这些文件被命名为WordPress文件，以隐藏身份。立即删除这些文件并不能保证这些文件不会恢复。需要审核网站的安全性，特别是文件和目录结构。

7、网站访问很慢或无响应

互联网上的所有网站都可能成为随机攻击的受害者，这些攻击来自世界各地的几台被黑客入侵的计算机和服务器，他们使用假ips向服务器发送大量请求，这正是黑客在入侵网站。此类活动都会使网站变得缓慢，无响应且无法使用。需要检查服务器日志查看哪些ips发出大量请求并阻止它们。

当然，也有没被黑客入侵网站也很慢的，这种情况，我们可以参考：提高WordPress访问速度与性能的四大方法。

8、服务器日志中存在异常活动

服务器日志是存储在Web服务器上的纯文本文件。这些文件记录了服务器上发生的所有错误以及所有互联网流量。服务器日志可以了解到WordPress站点受到攻击时发生的情况，同时还包含访问网站的所有IP地址，我们可以阻止可疑的IP地址。

9、无法发送或接收电子邮件

被黑客入侵的服务器通常用于处理垃圾邮件。大多数服务器商提供免费电子邮件帐户，许多WordPress网站所有者使用其主机的邮件服务器发送WordPress电子邮件。如果无法发送或接收WordPress电子邮件，则邮件服务器可能会被黑客入侵以发送垃圾邮件。

10、可疑的计划任务

Web服务器允许用户设置cron作业，你可以添加到服务器的计划任务。WordPress本身使用cron来设置计划任务，例如发布定时文章，从垃圾桶中删除旧评论等。黑客可以利用cron在你不知道的情况下在服务器上运行计划任务。

11、被劫持的搜索结果

如果网站上的搜索结果显示的标题或元描述不正确，则表明你的WordPress网站遭到入侵。查看WordPress网站会看到正确的标题和说明。黑客再次利用后门注入恶意代码，以只有搜索引擎才能看到的方式修改网站数据。

12、网站上出现弹出广告

这些类型的黑客试图通过劫持网站流量并向非法网站展示自己的垃圾广告来赚钱。对于登录的访问者或直接访问网站的访问者，不会显示这些弹出窗口。它们仅对来自搜索引擎的用户显示。在新窗口中打开广告，并且用户无法察觉。

来源：https://www.zdnet.com/article/wordpress-vulnerability-affects-a-third-of-most-popular-websites-online/