原标题:另一个 WordPress 插件漏洞使超过 100 万个网站暴露在外
已发现一个新的WordPress 插件漏洞,攻击者可以利用该漏洞访问站点的管理员登录页面该漏洞存在于流行的 WPS Hide Login 插件中,并由具有句柄 thalakus 的用户发现,该用户在 WordPress.org 的支持论坛上发布了对该问题的简要描述。
具有讽刺意味的是,此漏洞违背了插件的目的,该插件隐藏了 WordPress 站点的管理员登录页面并使 wp-admin 目录无法访问由于超过 100 万个WordPress站点使用 WPS 隐藏登录来增加更深层次的安全性,因此该插件的用户现在应该升级到最新版本,以防止任何攻击者利用此漏洞。
隐藏管理员登录页面虽然 WPS Hide Login and 可用于隐藏站点的管理员登录页面,但实际上还有另一种方法可以做到这一点,而无需根据Search Engine Journal安装单独的 WordPress 插件。
由于试图攻击 WordPress 站点登录页面的黑客和机器人通常会查看其默认位置,因此可以使用将 WordPress 安装到具有随机名称的目录文件夹中来实现相同的结果因此,与其将登录页面放在 /wp-login.php 中,您还可以将其安装到具有随机名称的目录文件夹中,因此它看起来像这样:/random-file-name/wp-login.php。
尽管如此,WPS Hide Login WordPress 插件对于已经在根目录中安装了 WordPress 的站点很有用该插件的创建者 Nicolas Kulka 现在已修复该问题,WPS Hide Login 用户应将插件升级到1.9.1 版,以保护他们的站点免受利用此漏洞的任何潜在攻击。