攻擊者正在利用兩個廣泛使用的WordPress插件中的嚴重漏洞，以入侵託管站點，影響站點數量眾多。前幾天我們才報導過流量排名前一千萬網站，三分之一使用WordPress，這麼廣泛的採用，一旦其中有安全漏洞被利用，影響會相當廣。

被利用的兩個插件，其中之一是  Easy WP SMTP，最早由安全公司NinTechNet在上週日報導了其被利用進行攻擊，數據顯示有300 000次下載安裝；另一個插件是  Social Warfare，已經被安裝了70 000次，它的利用是由另一家安全公司Defiant披露的。

兩個插件漏洞都允許攻擊者在受攻擊的網站上創建惡意管理員帳戶。據Defiant報導，有兩個競爭組織正在實施攻擊，其中一個在創建管理員帳戶後暫時停止操作，而另一個組織則會進行後續步驟，其會使用虛假帳戶更改站點，將訪問者重定向到惡意站點。

有趣的是，這兩個攻擊組織使用了相同的代碼用於創建管理員賬戶，而且這些代碼源於最初NinTechNet 在披露插件漏洞時使用的概念驗證代碼。不打補丁中招的成本也太低了。

據arstechnica的報導，雖然開發人員已經針對這兩個被利用的漏洞發布了安全補丁，但是下載數據表明許多易受攻擊的網站尚未安裝更新，Easy WP SMTP在過去7天內的下載量僅為135 000次，而Social Warfare補丁自周五發布以來，也僅被下載了少於20 000次。

安全事大，如果你的網站託管在WorPress 上，並且使用了這兩個插件中的任一一個，那麼需要確保已將其更新為：Easy WP SMTP 1.3.9.1 或Social Warfare 3.5.3。