WordPress 插件面临安全风险，专家建议立即移除

关键要点

• Wordfence 研究人员发现 Kaswara Modern WPBakery Page Builder 插件存在严重安全漏洞，建议网站管理员尽快移除该插件。
• 漏洞编号为 CVE-2021-24284，攻击者可通过该漏洞上传恶意 PHP 文件，进而获取网站控制权。
• 尽管 Wordfence 自 2021 年 5 月 21 日起已保护其客户免受此攻击，但网站仍需切换到其他插件。
• 老旧或不再支持的软件存在更大安全风险，因此网站管理员需要确保所有插件都是最新的。

Wordfence 的安全威胁情报团队本周警告称，针对 Kaswara Modern WPBakery Page Builder插件的攻击尝试正在急剧增加。研究人员表示，该插件存在的严重安全漏洞（CVE-2021-24284）尚未修复，但该漏洞早已被披露，并且插件已被关闭。攻击者可以利用此漏洞将恶意
PHP 文件上传到受影响的网站，导致代码执行和完整控制网站。一旦攻击者建立了立足点，他们还可以在网站文件中注入恶意 JavaScript。

尽管 Wordfence 自 2021 年以来一直为客户提供保护，但研究人员仍然强烈建议网站管理员移除 Kaswara插件并寻找替代方案，因为该插件不太可能会获得修复。

以下是相关的安全分析表：

漏洞编号 | 影响的插件 | 攻击方式 | 建议
—|—|—|—
CVE-2021-24284 | Kaswara Modern WPBakery | 上传恶意 PHP 文件，执行代码 | 立即移除该插件，寻找替代

另外，Wordfence 的联合创始人兼首席执行官 K2 Cyber Security 的 Pravin Madhani 表示，WordPress驱动着互联网上多达三分之一的网站，包括一些流量最高的网站和大量电子商务网站，因此攻击者总是在寻找新的漏洞进行利用。他指出，每一个新的 WordPress漏洞都提醒我们插件可能会影响整个网站的安全性。

“至少，安全团队需要确保所有插件都是最新的，并且只能启用和使用真正所需的插件。”Madhani说。对网站实施深度安全措施包括边缘安全、运行时应用安全和服务器安全，将为有效保护提供保障。

Netenrich 的首席威胁猎手 John Bambenek 提到，开源软件在 WordPress网站的软件供应链中存在的危险在于，组件经常被添加到网站中，这些组件可能会变得危险。“当插件或软件包被放弃且不会有更新或修复时，这种情况尤其严重，”Bambenek说。他指出，用户可以选择完全重建网站以移除 WPBakery，或使用强大的网络应用保护措施来抵御这些攻击。

Vulcan Cyber 的高级技术工程师 Mike Parkin 则表示，WordPress的案例是一个常被忽视的网络安全挑战的完美例证：当软件达到生命周期终点、变为孤儿软件或不再获得支持时，它就会成为安全风险。“旧漏洞可能没有修复，同时也可能会发现新的漏洞但没有办法修复，”Parkin表示。“尽管最佳选择是移除过时的软件或设备以消除威胁，但在许多情况下，实际上这是不可能的。在软件仍然至关重要且替代品不存在的情况下，组织必须找到尽可能降低风险的缓解措施，并为可能的漏洞利用做好准备。”