WordPress主流缓存插件LiteSpeed Cache再次出现高危安全问题,导致网站容易被攻击入侵

最后更新于:2024-10-08 14:05

目录

LiteSpeed Cache 是WordPress网站三大常用的缓存插件之一,它不仅提供页面缓存,还支持对象缓存、数据库优化、图像优化和延迟加载等功能。树大易招风,今年被发现的安全隐患问题不断,距离上次问题刚刚出现近1个月,最近又被披露了一个新的高严重性安全漏洞,该漏洞可能使恶意行为者能够在某些情况下执行任意 JS 代码,使用此插件6.5.0.2 之前的所有版本都存在被黑客侵入可能。

当启用LiteSpeed 设置中的“CSS Combine”和“Generate UCSS”这两个页面优化设置,可能导致攻击脚本被执行,对网站造成危害。


如何操作避免wp插件LiteSpeed Cache安全漏洞?

如果当前已在使用,需升级至 6.5.0.2 之后的版本,即发布在10月份之后的插件版本。如果有在7-9月份新装或更新LiteSpeed Cache ,应该更新至10月份之后的版本确保升级避免安全漏洞。

这种类型的攻击也被称为持久型 XSS 攻击。攻击者可以将恶意脚本永久性地存储在目标网站的服务器上,例如存储在数据库、消息论坛、访客日志或评论中。每当访客进入被侵入改造过的问题网页时,嵌入其中的恶意代码就会同步执行。

存储型 XSS 攻击可能带来严重后果,攻击者可以利用它进行浏览器端的攻击,窃取敏感信息,甚至劫持经过身份验证的用户会话,并以该用户的名义执行操作。

最具破坏性的情况是,当被劫持的用户账号是网站管理员时,攻击者将能够完全控制该网站,篡改网址信息,获取后台隐私数据。

wp缓存插件LiteSpeed Cache 简介

缓存插件可以帮助提高网站的加载速度和性能,是WordPress网站必备插件之一,主流的的WordPress 缓存插件有:WP Rocket,WP Super Cache,LiteSpeed Cache,对于大部分用户,可能会用到其中之一。 

LiteSpeed Cache 简称 LSCWP是专为使用 LiteSpeed 服务器的网站设计的缓存插件,也是目前 WordPress 上广泛使用的缓存解决方案之一。它不仅仅是一个普通的页面缓存工具,还提供了丰富的优化功能,适合需要高性能的网站。LSCWP的主要亮点:

页面缓存:通过缓存动态生成的页面来提升网站加载速度,减少服务器负载。

对象缓存:支持 缓存软件如Redis 和 Memcached 等缓存系统,进一步提高数据库查询效率。

数据库优化:帮助清理数据库中的无用数据,保持数据库的高效运行。

图像优化:自动压缩图片大小,并支持图片转为webp格式,通过减小图片占用体积,提升加载速度。

延迟加载:通过延迟加载图片和 iframe(如 YouTube 视频),减少页面首次加载的资源请求数量。

CDN 集成:轻松集成内容分发网络(CDN),进一步提升加速全球用户访问。

LiteSpeed Cache LSCWP 与大多数WordPress流行插件兼容,包括 WooCommerce、bbPress 和 Yoast SEO等。对于想要提升网站性能的用户来说,特别是那些运行高流量网站的用户,LiteSpeed Cache 是一个强大的工具。

值得注意的是,虽然插件功能强大,但如前面提到的漏洞(CVE-2024-47374),使用 LiteSpeed Cache 时应注意及时更新插件以避免安全风险。

0 有用:
创建于2024-10-08 00:40 70 阅读

相关内容: