因UpdraftPlus插件存在漏洞超200萬個WordPress網站已強制更新
UpdraftPlus 是一款可靠、易用的WordPress 備份/還原和克隆插件。上週由於該插件存在嚴重漏洞,超過200 萬個WordPress 網站得到了強制更新。該漏洞可能讓未經授權的用戶下載WordPress 網站的備份。
JetPack 的開發人員在對UpdraftPlus 進行內部審計時,發現了一個權限檢查缺失的漏洞,該漏洞可能允許未經授權的用戶訪問這些備份。通常情況下,只有管理員才能訪問它們。根據UpdraftPlus 的圖表,週四約有170 萬個網站下載了該更新。
JetPack 和UpdraftPlus 都發布了關於該漏洞的警告。UpdraftPlus 的開發者指出如果你的WordPress 網站已經對備份進行加密,那麼存在的風險較小。這是因為WordPress 對其存儲的密碼進行了加密,這應該可以保護它們不被獲得未加密的備份的黑客攻擊。JetPack 說大多數Wordpress 網站已經更新,並敦促那些沒有更新的網站安裝最新的UpdraftPlus 補丁。