新闻连接：a25K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5@1x3o6N6Q4x3V1j5@1y4o6j5I4z5e0q4Q4x3X3g2Z5N6r3@1`.
新闻时间：2014-07-22
新闻正文：
      最近，安全研究公司Sucuri表示， 一个流行的Wordpress插件MailPoet被怀疑可能存在漏洞， 能够让黑客取得对站点的完全控制。MailPoet是一个Wordpress下流行的用于制作和管理推广邮件的插件，下载量超过170个。

      WordPress插件爆出漏洞 170万网站恐受影响

    “如果你在你的站点中激活了这一插件， 那么很可能你的站点会被黑客完全控制。”Sucuri的CTO Daniel Cid在博客中写道：“黑客不需要站点的任何帐号， 就可以利用这个漏洞， 这是一个很严重的威胁， 意味着每个安装了这个插件的站点都可能受到威胁。”

       这个漏洞使得黑客可以远程上传任意文件。 Daniel Cid没有透露更多的信息， 只是指出， 这个漏洞源自人们的一个错误认识， 那就是在Wordpress中， 只有具备管理员权限的用户访问Wordpress的管理界面时Wordpress才会启动管理进程admin_init。 事实上， 任何调用/wp-admin/admin-post.php也会绑定管理进程， 而且不需要用户认证。 这样一来使得黑客有可能上传文件到存在漏洞的服务器上。 目前安全的MailPoet版本是2.6.7. 用户需要立刻进行更新。

       “人们必须认真对待这个漏洞， 因为他能够使得黑客能够对你的网站为所欲为。 它使得黑客可以上传任何PHP文件。 这样， 黑客还可以利用你的网站来进行钓鱼， 发送垃圾邮件， 或者放置恶意代码来感染其他用户。”

      内容管理系统如Wordpress和Joomla的插件的安全性一直为人们所诟病。史上12大著名安全后门植入案例中有两例就是与内容管理系统插件有关。 前不久的攻击北美和欧洲工控系统的黑客集团“蜻蜓” 也是利用里内容管理系统的漏洞开始攻击的第一步的。 因此， 作为网站管理人员， 特别是采用了Wordpress的网站， 一定要密切注意安全更新。 及时进行安全升级。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！