近日，WordPress安全公司W(wǎng)ordfence的研究人員發(fā)現(xiàn)一項(xiàng)嚴(yán)重的漏洞，它可以作用于三種不同的WordPress插件，并已影響超過84000個(gè)網(wǎng)站。
該漏洞的執(zhí)行代碼被追蹤為CVE-2022-0215，是一種跨站請求偽造(CSRF) 攻擊，通用安全漏洞評分系統(tǒng)（CVSS）對其給予8.8的評分。
該漏洞影響了 Xootix維護(hù)的三個(gè)插件：
Login/Signup Popup插件（超過 20000 次安裝）
Side Cart Woocommerce(Ajax)插件 （超過 4000 次安裝）
Waitlist Woocommerce (Back in stock notifier)插件（超過 60000 次安裝）
這三個(gè)XootiX插件設(shè)計(jì)的初衷旨在為 WooCommerce 網(wǎng)站提供增強(qiáng)功能。Login/Signup Popup 插件允許添加登錄和注冊彈出窗口到標(biāo)準(zhǔn)網(wǎng)站和運(yùn)行WooCommerce插件的網(wǎng)站。Waitlist WooCommerce 插件允許添加產(chǎn)品等待列表和缺貨項(xiàng)目通知。Side Cart Woocommerce 插件通過 AJAX 提供支持使網(wǎng)站上的任何地方使用都可以使用購物欄。
WordPress 用戶必須檢查其網(wǎng)站上運(yùn)行的版本是否已更新為這些插件可用的最新修補(bǔ)版本，即“登錄/注冊彈出窗口”的 2.3 版，“Waitlist Woocommerce”的 2.5.2 版（有庫存通知程序） )”，以及“Side Cart Woocommerce (Ajax)”的 2.1 版。
據(jù)了解，WordPress 通過其豐富強(qiáng)大的接口和設(shè)計(jì)理念能夠通過插件實(shí)現(xiàn)功能擴(kuò)展，是個(gè)非常不錯(cuò)的特色，很多站長們都會(huì)借助插件來實(shí)現(xiàn)一些特殊需要的功能擴(kuò)展。
但是，插件是一把雙刃劍，帶來了功能擴(kuò)展的同時(shí)也意味著將要損失運(yùn)行性能和安全性。這點(diǎn)兒只要有經(jīng)驗(yàn)的站長才能深刻體會(huì)到，新手一般剛開始對此的感受基本是“零”，因?yàn)殡S著站長們搭建的網(wǎng)站運(yùn)營時(shí)間的增長，各種安全隱患基本也就迎面而來了。
新網(wǎng)建站還是要奉勸個(gè)人站長們使用 WordPress 插件一定是慎重，能不用的就盡量不要用，在瀏覽和學(xué)習(xí)某些教程的時(shí)候注意看看教程文章的發(fā)布日期，超過一年以上的就不要過分相信了，現(xiàn)在技術(shù)的更迭基本上半年就是一次不小的跨度了，所以看技術(shù)教程很講時(shí)效性的。
 此外，一個(gè)企業(yè)的網(wǎng)站安全是基礎(chǔ)保障，網(wǎng)站建設(shè)對企業(yè)來說雖說有不同的目的，但是網(wǎng)站上的數(shù)據(jù)安全無論是對公司還是用戶來說都是非常重要的，建設(shè)網(wǎng)站最基本的是要保持網(wǎng)站的安全。作為企業(yè)來講，還是要借助專業(yè)的建站人員和正規(guī)的建站網(wǎng)站來進(jìn)行網(wǎng)站制作：https://www.xinnet.com/jianzhan/zizhujianzhan.html