信息來源：51CTO

WordPress是使用PHP語言開發(fā)的博客平臺，用戶可以在支持PHP和MySQL數據庫的服務器上架設屬于自己的網站，也可以把 WordPress當作一個內容管理系統(tǒng)(CMS)來使用。WordPress因其易用性，廣受開發(fā)人員的喜愛。在WordPress世界中有各種各樣的主題和插件，開發(fā)人員可以利用他們輕松地構建網站。

相信很多人一開始就被WordPress所吸引，可能是因為其強大的插件系統(tǒng)。盡管WordPress本身存在許多功能缺陷，但它可以通過插件彌補這些缺陷。然而，插件也會存在漏洞，帶來安全風險。

近日，據某外媒報道，Elementor Pro與Ultimate Addons for Elementor這兩個流行的WordPress插件缺陷，正致使數百萬網站面臨風險。其中，Elementor Pro插件是一個網站構建器，允許用戶使用拖放構建器添加模塊并自定義其網站。其深受用戶歡迎，目前有超過一百萬的活躍用戶。

有關研究發(fā)現，該Elementor Pro插件存在漏洞易受到黑客攻擊，攻擊者可以利用該漏洞遠程上傳任意文件，從而執(zhí)行未經授權的代碼，這將帶來嚴重危害。例如，考慮可以以這種方式安裝后門和Web Shell，這兩者都可以使攻擊者為其自身訪問站點的關鍵部分(例如文件系統(tǒng))創(chuàng)建重復進行遠程訪問的途徑，執(zhí)行站點數據刪除操作。值得注意的是，攻擊者必須是有問題的WordPress網站的注冊用戶，此攻擊才能起作用。

但是，如果由于某些原因無法滿足此先決條件，則有另一個名為Ultimate Addons for Elementor的插件，Ultimate Addons是一個獨特的Elementor小工具庫，可為頁面生成器增加更多的功能和靈活性。

據悉，該插件的1.24.1及以下版本中存在漏洞，允許某人無需任何管理員批準的用戶注冊即可攻擊主要Elementor Pro插件。也就是說，WordPress具有不同的用戶角色，其中之一包括訂戶。 在這種情況下，要注冊為訂戶，無需獲得站點管理員的批準，允許攻擊者自己這樣做，從而利用存在的漏洞。

與所有內容一樣，請放心，這些內容也都已提供修復程序。根據WP行業(yè)安全插件WordFence發(fā)布的準則指出，Elementor Pro于5月7日發(fā)布補丁，對Elementor Pro的最新版本進行更新將有助于保護您的網站。

Wordfence發(fā)送了一條針對該問題的推文：

在此，專家建議您還可以采取以下預防措施：

◆主動刪除未經您的許可可能已在您的網站上注冊的所有訂戶級用戶，因為這可能表示妥協(IOC)。

◆請注意一個名為“wp-xmlrpc.php”的文件，因為這也可能是一個IOC，應將其刪除。

◆檢查文件管理器中的/wp-content/uploads/elementor/custom-icons/目錄文件夾，以確保在此處未找到攻擊者可能已上傳進行攻擊的未授權或未知文件。

總而言之，在站點上安裝安全插件也很重要，WordFence或Sucuri都可以工作，它們可以主動掃描您的站點是否存在任何惡意軟件威脅，同時通過實施措施(例如限制直接上傳任何基于PHP的文件。

此外，您還應該手動或通過插件對站點進行定期備份，以確保在發(fā)現數據被刪除的情況下始終可以恢復站點。