在过去的一周中推广效果以防止黑客利用其代码缺陷攻击网站。
在过去的一周中宁镜泊湖从挑衅注意到使用“总捐赠”插件会导致网站零日批评。挑衅是公司Bomen WordPress防火墙创建插件。
这次的缺陷是普遍的丈八版的“总捐赠”插件。“总捐款”是一个贸易插件。网站控制器从未用它来收集和控制网站的礼物和暂时放弃了保护。
据调查员米奇Veenstra插件代码包括几个缺点这是暴露在不安的情况完全通用的插件和WordPress站点在上周五发布的一份通知。Veenstra显示插件包括一个Ajax代码和所有unsubscribed远距离攻击者可能希望利用这段代码来改变插件。
Ajax代码存储在一个文件的插件这意味着禁用该插件不取消的威胁因为攻击者只需要直接调用该文件所以只有简写所有插件可以保护免受攻击。Ajax代码允许批评改变值建立核心项目的WordPress站点改变插件通过插件构建和修改捐款账户收到甚至检索Mailchp邮件列表。
“总捐赠”的开发人员已经暂时停止了插件的开发以及公司暂时停止下载10英尺CodeCanyon插件。作为一个贸易产品插件将没有一个庞大的用户基础。但是插件是最有可能放置在WordPress网站与一个巨大的用户群这是黑客的一个重要工具。