两款插件漏洞被利用，近20万WordPress站点还没更新

流量排名前一千万网站中，三分之一使用的是 WordPress，而有两个插件漏洞正在被攻击者利用来入侵托管站点，影响非常大。

这两个插件是：Easy WP SMTP 和 Social Warfare

Easy WP SMTP

wpcjld2.jpg

最早由安全公司 NinTechNet 报导了其被利用进行攻击，数据显示有 300000+ 次下载安装。

Social Warfare

wpcjld1.jpg

另一个插件是 Social Warfare，已经被安装了 70000+ 次，它的利用是由另一家安全公司 Defiant 披露的。

两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导，有两个竞争组织正在实施攻击，其中一个在创建管理员帐户后暂时停止操作，而另一个组织则会进行后续步骤，其会使用虚假帐户更改站点，将访问者重定向到恶意站点。

有趣的是，这两个攻击组织使用了相同的代码用于创建管理员账户，而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。

据 arstechnica 的报导，虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁，但是下载数据表明许多易受攻击的网站尚未安装更新，Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次，而 Social Warfare 补丁自周五发布以来，也仅被下载了少于 20 000 次。

安全事大，如果你的网站正在使用 WorPress 上，并且使用了这两个插件中的任一一个，那么请务必将上述的两个插件版本确保已更新为最新版本

插件链接地址：Easy WP SMTP / Social Warfare

本文来自 杂时代 | zatime.com