WordPress成為Linux惡意軟體最新攻擊目標

編譯／鄭智懷

俄羅斯資安公司Doctor Web發布最新報告，聲稱全球最受歡迎的網頁製作平台/ 網站管理系統WordPress有30個外掛與樣式存有嚴重漏洞，已經成為Linux惡意軟體的重點攻擊目標。

Doctor Web表示：「假使網站使用版本老舊的外掛與樣式，缺乏安全漏洞的補丁，目標網頁將被植入惡意JavaScript。」當網頁用戶進入該網站後，將被轉移至其他惡意網站。報告提到，惡意軟體的第一個版本將WordPress網站上的19個外掛與樣式武器化，用於植入惡意程式；而該惡意軟體的第二個版本則涵蓋另外11個外掛，使駭客可以利用其中的漏洞入侵受害者電腦。

據悉，該軟體的兩個版本還具有暴力破解WordPress網站管理員帳戶的功能；不過，目前並不清楚開發者是利用已知的老舊安全漏洞，或是其他未知的安全漏洞。

Doctor Web指出：「如果是利用較新的版本入侵，網路犯罪者甚至能攻擊使用最新更新版本的用戶。」

然而，該公司仍然建議，WordPress的用戶應該保持所有外掛與樣式為最新版本，並且使用強大且唯一的帳戶名和密碼以保護自己的帳戶。

事實上，在本起安全漏洞事件之外，WordPress在去年已經出現多起攻擊事件。譬如在2022年6月，網路公司GoDaddy旗下的資安團隊發現駭客利用名為Parrot 的流量導向系統（Traffic Direction System）向WordPress 網站植入多款惡意軟體；12月，該公司統計指出，有超過1.5萬個WordPress網站遭到破壞。此外，網路安全設備商Fortinet揭露殭屍網路GoTrim利用WordPress的內容管理系統（Content Management System）破解並奪取網站控制權。

資料來源：The Hacker News

瀏覽 999 次