WordPress插件漏洞可致网站泄密 360首推临时解决方案

　　近日，360网站安全检测平台WebScan发布紧急安全警告：知名博客引擎WordPress多个插件存在SQL注入或跨站脚本执行漏洞，攻击者借此可以窃取网站核心数据，甚至利用这些网站实施钓鱼挂马攻击。经360网站安全检测对第三方应用识别引擎的分析研究，WordPress占第三方可识别应用总数的39.5%，大量网站处于危险中。

　　360网站安全检测服务网址：http://webscan.360.cn

　　据了解，WordPress是一种使用PHP语言和MySQL数据库开发的博客引擎，因简单易用且拥有丰富强大的插件而用户众多。而此次漏洞成因正是WordPress的三个插件出现了问题，波及使用WordPress搭建的网站。

　　

　　图1：bbPress存在SQL注入漏洞

　　经360网站安全检测平台分析，包括WordPress母公司Automattic出品的开源论坛程序bbPress、WordPress视频播放插件HDWebplayer1.1都存在SQL注入漏洞。

　　

　　图2：利用工具渗透测试结果

　　同时，邮件工具SimpleMail plugin for WordPress 1.0.6及其他版本在实现上则存在跨站脚本攻击漏洞，可被恶意利用执行脚本插入攻击，查看后会在受影响站点的用户浏览器中执行。其主要原因为电子邮件字段"To"、"From"、"Date"、"Subject"传递输入没有正确过滤即用于显示邮件。

　　由于上述漏洞影响广泛，且官方尚未提供漏洞补丁，所以360网站安全检测平台在第一时间向旗下用户发送警告邮件的同时，还推出了临时解决方案，并建议广大站长及用户时刻关注WordPress厂商的主页以获取更新版本。

　　WorPress厂商主页：

　　http://wordpress.org/

　　临时解决方案：使用360网站安全检测提供的防注入脚本工具：

　　http://webscan.360.cn/vul/view/vulid/64

　　http://webscan.360.cn/vul/view/vulid/87

　　同时，360网站安全检测平台WebScan也第一时间推出了SQL注入、跨站脚本攻击漏洞的临时防护工具，可有效拦截相关攻击行为。