WordPress - Mandarinian

近 600 万个 WordPress 网站可能受到 3 个插件漏洞的影响

我们观察到三个高严重性漏洞，这些漏洞容易受到未经身份验证的跨站点脚本 (XSS) 攻击，攻击者可以通过领先的 WordPress 插件注入恶意脚本。这些漏洞可能会影响近 600 万个 WordPress 安装，因此安全专家建议认真对待。在一个 5 月 29 日博客文章Fastly 的研究人员表示，他们观察到的攻击载荷注入了一个脚本标签，该标签指向托管在外部域上的混淆 JavaScript 文件。研究人员表示，针对每个漏洞使用的脚本都是相同的，主要针对以下恶意操作：创建新的管理员帐户；注入后门，并设置跟踪脚本，显然是为了监视受感染的网站。第一个错误 CVE-2024-2194 – 做作的 WP统计，其安装量超过 60 万次。第二个漏洞是 CVE-2023-6961 – 打 WP Meta SEO 拥有超过 20,000 个安装的插件。最后， CVE-2023-40000 – 打 LiteSpeed Cache 插件，其安装量已超过 500 万。 Critical Start 威胁检测工程师 Adam Neel 表示，这些 WordPress 漏洞让攻击者能够通过 XSS 窃取管理员凭据。Neel 补充说，WordPress 管理员拥有安全团队不希望落入攻击者手中的功能，例如删除其他用户、删除页面以及查看所有后端内容。 […]

研究人员发现 WordPress 插件漏洞被积极利用

2024年5月30日新闻编辑室WordPress / 网站安全网络安全研究人员警告称，WordPress 插件中的多个高严重性安全漏洞正被威胁行为者积极利用，以创建恶意管理员帐户并进行后续利用。 Fastly 研究人员 Simran Khalsa、Xavier Stevens 和 Matthew Mathur 表示：“这些漏洞存在于各种 WordPress 插件中，由于输入清理和输出转义不足，容易受到未经身份验证的存储型跨站点脚本 (XSS) 攻击，从而使攻击者能够注入恶意脚本。” 说。所涉及的安全漏洞如下： CVE-2023-6961 （CVSS 评分：7.2）- WP Meta SEO

这款 ChatGPT WordPress 插件在阵亡将士纪念日售价 50 美元

披露：我们的目标是推荐我们认为您会感兴趣且有用的产品和服务。如果您购买这些产品和服务，Entrepreneur 可能会从我们的商业伙伴处获得一小部分销售收入。自诞生以来，ChatGPT 彻底改变了全球企业家和成长型企业的运营方式。现在，使用由 ChatGPT 提供支持的聊天机器人来帮助引导客户访问您的网站正变得越来越普遍。而在开发方面，这款由人工智能驱动的工具可以为您和您的团队节省大量时间和金钱。对于那些正在寻找使用 ChatGPT 扩大运营规模的方法的企业领导者和企业家，可以考虑将其与您的 WordPress 网站集成。在阵亡将士纪念日特别促销期间，您可以享受很大的折扣。此 ChatGPT WordPress 插件的终身许可证是仅有的 5 月 31 日晚上 11:59（太平洋时间）之前售价 49.97 美元（原价 299 美元）。可添加到任何 WordPress 网站，您可以使用此插件将 ChatGPT 添加到网站的前端或后端。一旦您通过 WordPress 网站使用 ChatGPT，您就可以就任何主题向它提问，以获得即时回复和指导。您和您的团队还可以依靠 ChatGPT 来自动化昂贵且耗时的工作，例如内容创建、研究等。只需购买一次，您就可以终生使用 ChatGPT 支持您的 WordPress 网站。在企业家商店中，它的平均评分为 4.3/5 星。最近的五星评论阅读“WordPress 的 ChatGPT 插件是一种有趣的替代方案，可以直接从网站快速访问 AI。我建议尝试一下。” 别忘了，在阵亡将士纪念日特别降价期间，此 ChatGPT WordPress 插件的终身许可截止到 5 月 31 […]

WP-Stack：轻松简化 WordPress 网站管理

发现更多人工智能商业工具： WP-Stack 是一款功能强大的业务工具，允许用户从一个直观的仪表板轻松管理多个 WordPress 网站。凭借一键更新、技术 SEO 审核、增强的安全措施和可靠的备份等功能，WP-Stack 每月为用户节省数千小时和金钱。使用 WP-Stack 的主要好处包括通过自动备份和每日恶意软件扫描来预防攻击，通过批量更新和一键登录所有网站来节省时间，通过绩效报告给客户留下深刻印象，无需共享密码即可委派任务和管理团队项目，以及通过实时警报跟踪正常运行时间、域和 SSL 到期状态。此外，用户可以通过安全的仪表板访问和报告获得客户反馈。 WP-Stack 提供各种工具和功能，例如内容管理器、站点审核、域监控器、备份和恶意软件扫描功能、活动日志、社交媒体管理工具、性能监控功能、自动链接工具、代码插入器、智能用户管理选项以及 WordPress 主题、插件和应用程序的智能更新。该工具还提供灵活透明的定价模型，允许用户只为他们使用的内容付费，并可以随时取消，而无需锁定合同。用户称赞WP-Stack无与伦比的功能、易用性和流畅的体验。 WP-Stack 非常适合希望安全高效地发展 WordPress 机构的自由职业者、机构所有者和管理员。凭借客户报告、白标工具、WordPress 专家的免费支持以及可操作的流量洞察等功能，WP-Stack 可以帮助用户提升客户服务水平，并为其客户提供有价值的服务。 WP-Stack – 特点通过一个仪表板的一键更新、SEO 审核、安全性和备份，轻松管理多个 WordPress 网站通过自动备份、登录历史记录和每日恶意软件扫描预防攻击通过批量更新和一键登录所有站点来节省时间通过绩效报告给客户留下深刻印象，并与团队成员协作而无需共享密码通过实时警报跟踪正常运行时间、域名和 SSL 过期状态使用内容管理器工具将内容发布到多个站点用于 SEO 优化的社交媒体管理、绩效监控和自动链接工具利用客户报告、白标工具、WP 专家的免费支持和可操作的流量洞察来发展您的 WordPress 代理机构 WP-Stack – 定价 WP-Stack 根据管理的网站数量提供定价计划。价格如下：团队：5 […]

WordPress 编辑器 Gutenberg 值多少钱？

你好在这里 🙂，感谢您点击我的文章 😁。今天，我们将讨论 Web 开发领域中一个非常有争议的话题：Wordpress… 尽管经常被嘲笑，Wordpress 仍然是必不可少的，它与网络、博客一起成长。科尔本例如，它是一个 WordPress 😛（你知道吗？）但是，这个小家伙已经进化得很好，这就是为什么我在本周的文章中将他放在聚光灯下……事实上，我用它为未来的“副项目”创建了一个登陆页面，该项目不会立即看到曙光…… 忠诚卡我与 WordPress 的故事… 与许多开发人员一样，它与 WordPress 之间的关系一直很复杂……至少直到最近…… WordPress 入门我们第一次见面，一定是在2010年，当时我创建了我的第一个博客，当时创建博客就是参考（事实上今天仍然如此……）。当时这个博客我只是安装了它，选择了一个主题并开始发布文章，没有今天的严谨，但基础已经有了，即使我没有保留内容这个博客和今天它重定向到这个网站，这就是您今天所使用的博客的基础 😁。后来的一些副业项目我开始在业余项目上更深入地使用 WordPress，例如《魔兽世界》公会网站（是的，所有开发人员，我们转向了《魔兽世界》）… 新闻网站、WooComerce 的“eshop”、展示网站…等。在此期间，我很快就对 WordPress 失望了，我有一种修补的感觉，做事不正确的感觉……这就是让我远离它的原因。那些让我震惊的 DIY 😮 带有奇怪代码的主题我要讲一些我看到的轶事，第一个是关于一个主题的，我不记得主题了，但我记得它让我印象深刻：主题是免费的，不是很漂亮，但是嘿，它完成了我当时正在做的 DIY 工作，我想个性化它，当时我不知道有必要创建一个“儿童主题” ” 修改主题（与面向对象编程中的继承原理相同）。所以我尝试修改基本主题，当我到达页脚时，我看到 PHP 中的“eval()”。除此之外，当时我已经知道 PHP 中的“shell”是什么，尤其知道为了在代码中“隐藏”shell，我们经常使用这个函数。对于非 PHP 专家，此函数允许您执行字符串中的 PHP 代码… “eval”函数与加密字符串和解密函数一起使用（这是一个循环，使用 XOR […]

黑客试图利用 WordPress 插件漏洞，该漏洞非常严重

盖蒂图片社研究人员表示，黑客正在使用一个著名的 WordPress 插件攻击网站，并进行了数百万次尝试，以利用一个允许完全接管的高严重性漏洞。该漏洞存在于 WordPress 自动，一个拥有超过 38,000 名付费客户的插件。运行 WordPress 内容管理系统的网站使用它来合并来自其他网站的内容。安全公司 Patchstack 的研究人员上个月披露 WP 自动版本 3.92.0 及更低版本存在一个漏洞，严重程度为 9.9（满分 10）。插件开发者 ValvePress 悄悄发布了一个补丁，该补丁可在 3.92.1 及更高版本中使用。研究人员已将这个编号为 CVE-2024-27956 的缺陷归类为 SQL 注入，这是一类由于 Web 应用程序无法正确查询后端数据库而产生的漏洞。 SQL 语法使用撇号来指示数据字符串的开头和结尾。通过在易受攻击的网站字段中输入带有特殊位置的撇号的字符串，攻击者可以执行执行各种敏感操作的代码，包括返回机密数据、授予管理系统权限或破坏 Web 应用程序的工作方式。 Patchstack 研究人员在 3 月 13 日写道：“这个漏洞非常危险，预计会被大规模利用。” 网络安全公司 WPScan 星期四说自 3 月 13 日 Patchstack 披露以来，已记录了超过 550 […]

WP 自动 WordPress 插件中发现严重的 SQL 注入漏洞

马德里，四月 26 日（传送门/EP）- 他 WordPress WP 自动补充提出了一个严重的SQL注入漏洞网络犯罪分子可以使用它创建管理员帐户访问网站数据库并上传恶意代码除了安装后门外。 WP 自动 WordPress 插件是一个允许管理员的工具自动从各种在线来源导入网站上的内容，例如图像、文本或视频。例如，来自 X（以前的 Twitter）的 YouTube 视频或图像。由于他们已经能够识别出来自网络安全服务 PatchStack 的研究人员，这个补体有一个严重的SQL注入漏洞恶意行为者可以通过它访问网站的数据库上传恶意代码，此外安装后门获得长期访问权并控制受影响的站点。 PatchStack 详细介绍在您的网站上，这是一个漏洞，被识别为 CVE-2024-27956 并有资格获得高严重级别（9.9 分，满分 10 分）。具体来说，它影响 3.9.2.0之前的版本来自 WP 自动插件。 SQL 注入攻击是网络犯罪分子将侵入性代码渗透到网站中的一种方法。在这种情况下，如 WP扫描分析 -Wordpress 的漏洞扫描系统-，该错误存在于插件的用户身份验证机制中攻击者可以规避并向网站数据库发送恶意 […]

Google 诊断已取消索引的 WordPress 网站

Google 的 John Mueller 回答了有关 WordPress 网站的问题，该网站在更改为不同的网络托管平台后已从 Google 搜索中完全取消索引。穆勒的回答表明了从哪里开始调查发生这种情况的原因。网站迁移后从索引中删除这个问题可能意味着他们在 WordPress.com 管理的 WordPress 平台上托管网站，然后将网站迁移到另一个网络主机，通常称为自托管。将 WordPress 网站迁移到另一个网络主机只需几个相对简单的步骤，但实际上该过程的每个步骤都可能出错。稍后会详细介绍如何迁移 WordPress 网站，因为它与问题相关。约翰·穆勒回答这个问题穆勒从分析网站本身的角度回答了这个问题，在这个具体案例中，这是最好的切入点。原因是因为该问题暗示该网站仍然可以在线访问。这是问题： “网站从 WordPress 转移到自助出版后，几乎所有出版物都从索引中消失了。搜索结果是‘0’。” 约翰·穆勒回应： “如果您的网站从搜索结果中消失并且根本不再被索引，大约在您进行迁移时，那么我的猜测是您的新网站以某种方式阻止了搜索引擎，或者至少阻止了 Google。我首先分析 Search Console 中的数据，然后从那里开始工作。” 搜索控制台可能会显示网页开始从 Google 索引中删除的确切日期以及删除的原因。典型的原因可能是找不到页面 (404) 或 Google 被 robots.txt 阻止抓取。这些是确定谷歌方面正在发生的事情的起点。诊断 WordPress 是否阻止 Google 当 WordPress 网站被设置为对搜索引擎隐藏时，通常会发生这种问题，这意味着有一个 […]

讨论 – Beeper 将 14 种聊天服务整合到一个应用程序中。现在它被 WordPress 所有者购买并发布给所有人 – MobilMania.cz

Android 上有 iMessage 真是太好了，即使你必须给他们一个 AppleID。但我不知道他们没有与 Apple 达成协议，而且他们伪造了一台登录了 AppleID 的 Apple 设备，并从那里将消息中继到他们的客户端。蜂鸣器并没有为我带来任何其他东西，多个设备的连接……我知道这对某人来说是必不可少的，当我有时在市场上出售/购买时，我会受到 FB Messenger 的困扰，我会因为我的妻子而受到 WhatsUp 的困扰教我儿子使用它。如果有人需要我做某事，我有电话和/或短信可以确保，即使我没有数据，也很难确定对方何时收到消息（如果有必要的话）数据不可用。最糟糕的可能是 RCS。当我使用android时，我想让它处于活动状态，但是当一个人有双SIM卡时，它允许他仅在主要是通话和数据的SIM卡上打开RCS，如果我想在另一个SIM卡上打开RCS，我就出局了幸运的是，就像我想要在一个 sim 默认呼叫和第二个数据上使用它一样，RCS 不起作用。然后，当该人将其激活并看到联系人发送 RCS 消息时，很好，他发送了一段时间后，他注意到它没有出现是否以 SMS/MMS 发送或以 SMS/MMS 发送的问题因为RCS发送失败，并且设置为失败时自动发送短信/彩信。 1712810818 #讨论 #Beeper #将 #种聊天服务整合到一个应用程序中 #现在它被 #WordPress #所有者购买并发布给所有人 #MobilMania.cz 2024-04-10 23:59:00

停止使用的安全插件使许多 WordPress 网站面临被接管的风险

WordPress 安全公司 Defiant 的 Wordfence 团队警告称，由于最近停止使用的两个 MiniOrange 插件中存在严重漏洞，数千个 WordPress 网站可能面临被接管的风险。两个插件MiniOrange 的恶意软件扫描程序和 Web 应用程序防火墙于 3 月 7 日关闭，即向维护人员报告严重缺陷两天后。该漏洞的编号为 CVE-2024-2172（CVSS 评分为 9.8），其存在是因为两个插件中的某个功能缺少功能检查，从而允许未经身份验证的攻击者将其权限升级为管理员。由于在尝试更改用户密码时不会执行身份验证和密码验证，因此未经身份验证的攻击者只要提供有效的用户名，就可以更新任何用户帐户的密码。 “与任何导致权限升级漏洞的任意用户密码更改一样，这可以用于完整的站点入侵。一旦攻击者获得了 WordPress 站点的管理用户访问权限，他们就可以像普通管理员一样操纵目标站点上的任何内容。”Wordfence 指出。该问题已通过 Wordfence 错误赏金计划向外部报告，报告研究人员因此获得了 1,250 美元的奖励。当上周关闭时，Malware Scanner 的活跃安装量超过 10,000 个，而 Web Application Firewall 的安装量超过 300 个。建议网站所有者尽快删除这些插件。周四，Wordfence 警告另一个影响数千个 WordPress 站点的权限提升漏洞，这次是在 RegistrationMagic 插件中，该插件支持表单、用户管理、分析等用户注册功能，并拥有超过 10,000 个活跃安装。广告。 […]

Tag: WordPress