WordPress 網站在這個月被曝:慘遭黑客入侵並惡意植入代碼,數以萬計的網站被感染,但攻擊手法還不是 WordPress CMS 本身的bug,而是利用過時的主題和插件中存在的漏洞。
惡意代碼是怎麼進一步作惡的呢?它會把曾訪問過受感染網站的用戶,篩選出來,並將用戶重定向到技術支持的詐騙網站。例如:利用 Google Chrome 的 “evil cursor” 漏洞,阻止用戶關閉惡意網站。
WordPress 網站劫持這個月初就出現瞭苗頭,尤其最近幾天感染的Wordpress網站數量不斷遞增。谷歌中搜索結果發現,攻擊的 JavaScript 惡意代碼多達2,500多條,這其中隻占攻擊網站總數的一小部分。
說到WordPress插件,不能隨便安裝的,建議且最安全的安裝做法是從官方那裡下載獲取新的代碼,避免惡意代碼腳本植入。
