UpdraftPlus 是一款可靠、易用的 WordPress 備份/還原和克隆插件。上周由於該插件存在嚴重漏洞,超過 200 萬個 WordPress 網站得到了強制更新。該漏洞可能讓未經授權的用戶下載 WordPress 網站的備份。
JetPack 的開發人員在對 UpdraftPlus 進行內部審計時,發現了一個權限檢查缺失的漏洞,該漏洞可能允許未經授權的用戶訪問這些備份。通常情況下,只有管理員才能訪問它們。根據 UpdraftPlus 的圖表,周四約有 170 萬個網站下載了該更新。
JetPack 和 UpdraftPlus 都發布了關於該漏洞的警告。UpdraftPlus 的開發者指出如果你的 WordPress 網站已經對備份進行加密,那麼存在的風險較小。這是因為 WordPress 對其存儲的密碼進行了加密,這應該可以保護它們不被獲得未加密的備份的黑客攻擊。JetPack 說大多數 WordPress 網站已經更新,並敦促那些沒有更新的網站安裝最新的 UpdraftPlus 補丁。