关键词

漏洞

一夜之间,全球40%的网站都可能成了黑客的"后花园"。

这不是演习。

7月17日,安全研究人员公开了一个代号为 "wp2shell" 的WordPress核心漏洞。这个漏洞有多可怕?

一句话总结:黑客不需要密码、不需要账号、甚至不需要你装过任何插件,就能远程在你的服务器上执行任何命令。

全新安装、干干净净、一个插件都没装的WordPress网站,照样中招。

这个漏洞到底怎么回事?

WordPress是全球最流行的内容管理系统,全球约40%的网站都用它搭建。而"wp2shell"藏在WordPress的核心代码里。

攻击者只需要发送一个精心构造的HTTP请求,就能在目标服务器上执行任意系统命令。植入后门、窃取数据、加密勒索……想干什么干什么。

更可怕的是:这个漏洞不依赖任何插件或主题。你装了100个安全插件也没用,因为漏洞在"地基"里。

影响范围

  • 所有WordPress6.97.0版本

  • 全球约数百万个网站

官方已启动强制自动更新

WordPress紧急发布了6.9.5 和 7.0.2,并启动了强制自动更新。但关闭了自动更新的站长,此刻仍然暴露在风险中。

你该怎么做?

  • 登录后台 → 仪表盘 → 更新,确认版本≥6.9.5

  • 检查服务器日志是否有异常HTTP请求

  • 建议启用WAF作为额外防线

更新,永远是成本最低的安全措施。

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!