使用WordPress 建站的朋友,如果页面有轮播,并且使用了LayerSlider轮播插件,需要留意下自己所使用的版本是否存在安全隐患。如果使用,尽量使用在7.10.1或之后版本保证网站安全运行。
LayerSlider 是一个备受欢迎的 WordPress 插件,一些站点会在首页banner轮播,以及首页的产品等详情滑块中用到,广泛用于构建引人注目的幻灯片和动画效果,因其强大的功能,有上万个个活跃网站在使用它。但最近该插件被发现存在一个严重的 SQL 注入漏洞,这个漏洞可能使未经身份验证的攻击者得以远程发起攻击,访问并操纵网站的数据库,意味着可以拿到你后台隐私数据,存在删除网站数据库而导致网站的不能正常运行的风险。
漏洞问题:
根据 Wordfence 的安全研究报告[Wordfence 是一个专为 WordPress 网站设计的领先安全插件,它提供了全面的安全保护功能,帮助网站管理员检测和防止各种网络攻击。],安全研究人员在 LayerSlider 插件的代码中发现了 SQL 注入漏洞。这一漏洞与插件用于查询弹出窗口滑块标记的操作相关,该操作接受一个由用户输入的 id 参数。通常,插件应该严格验证和过滤这些输入参数,确保它们是合法的数字值。然而,当攻击者在 id 参数中输入恶意的 SQL 代码时,插件并未正确过滤和处理这些输入,直接将其传递给数据库进行查询,导致 SQL 注入的发生。
通过此漏洞,攻击者可以执行未授权的数据库查询,窃取或修改数据库中的数据,甚至完全控制受影响的网站。这种漏洞对于站点管理员和用户的数据安全构成了极大的威胁,特别是对于拥有大量访问量和敏感数据的网站。
修复措施
在漏洞问题被爆出后,LayerSlider 的开发团队迅速采取了行动,发布了版本 7.10.1,该版本修复了这一关键漏洞。尽管插件的官方网站并没有详细列出漏洞的具体修复细节,第三方检测确认,7.10.1 版本包含了修补 SQL 注入漏洞的安全更新。因此,所有使用 LayerSlider 插件的 WordPress 站点管理员应立即将插件更新至该版本,避免潜在的攻击风险。
危险性评估
LayerSlider 的高普及率意味着其漏洞可能会成为攻击者的重点目标。SQL 注入是一种常见但非常危险的攻击方式,它可以绕过常规的身份验证机制,并直接操纵数据库中的数据。因此,使用未修补版本的 LayerSlider 网站可能会面临严重的数据泄露或网站瘫痪的风险。鉴于此,插件用户应特别重视这一安全漏洞,及时进行插件的升级和安全检查。
防护建议
除了立即更新 LayerSlider 插件,对于日常使用wp的用户来说,可参考以下节点建议:
定期备份网站:即使发生了安全问题,定期的备份可以帮助wp管理员迅速恢复网站,部分购买的主机上会提供这样的备份服务,万一出现问题可以减少损失。
定期更新插件和主题:保持 WordPress 相关插件和主题始终是最新版本,避免使用含有安全漏洞的旧版软件,并且更新前做好网站备份或者是了解当前更新内容的稳定兼容性,因为部分更新可能导致新的问题出现
安装安全插件:安装一些安全插件可以实时监控站点,并及时发现并阻止可能的攻击。
刷新