【網站安全】WordPress 12年來最強漏洞 350萬網站面臨安全威脅
網安人才年全球擁有 4 億用家的網站管理平台再被爆出安全漏洞,發現漏洞的安全研究機構 Wordfence 更指這個漏洞的嚴重性在其成立 12 年的歷史中屬最罕見案例,因為它允許黑客遙距發動攻擊,可輕易獲得受影響網站的完全管理權限。現時約有 350 萬個網站可能暴露在這次安全漏洞之下,網站管理員必須即時檢查有否受影響並更新版本,才能阻止黑客入侵。
官方插件出現嚴重身份驗證漏洞
這次安全事故的兆因出在 WordPress 的官方插件 Really Simple Security(前身為「Really Simple SSL」)之上,研究員發現在 9.0.0 至 9.1.1.1 版本軟件中,均存在一個嚴重的身份驗證漏洞(CVE-2024-10924),無論是免費和專業版本插件同樣遭殃,導致數以百萬計網站陷入重大安全危機。研究員指出 Really Simple Security 是一款廣受歡迎的安全插件,提供 SSL 配置、登錄保護、雙重因素驗證和實時漏洞檢測等功能,單是免費版本已有超過 400 萬個網站使用。
漏洞的具體情況是插件在處理雙重因素驗證的 REST API 操作時出現管理不當,其驗制機制原本必須通過核對 user_id 和 login_nonce 參數,如 login_nonce 無效,登入請求本應被拒絕,但存在漏洞的系統版本卻會調用 authenticate_and_redirect() 函數,令黑客可單單通過輸入 user_id 便能登入帳戶。研究員說這個漏洞非常危險,因為黑客可以通過撰寫自動化程式,大舉入侵受影響的帳戶。
網站管理員需將網站更新到最新版本
Wordfence 研究員強調,現時開發團隊已在 11 月 1 日和 14 日分別為專業版和免費版發布了安全更新,軟件的版本為 9.1.2,儘管開發者已與 WordPress.org 協調進行強制安全更新,但網站管理員仍需主動檢查並確保他們的網站運行的是最新版本;特別是專業版用家,在其許可證到期時自動更新會被禁用,因此必須手動更新才能阻截入侵渠道。
截至目前約有 450,000 個用家已下載了最新的免費版本,但估計仍有約 350 萬個網站可能暴露在這次安全漏洞之下。隨著網絡安全威脅的不斷演變,這次事件再次提醒大家,保護網站安全的重要性不容忽視。網站管理員必須時刻保持警覺,及時更新插件,而軟件開發者在開發過程中需要更加注重安全性,加強編碼審查和安全測試,全力防止類似漏洞出現。
