據(jù)外媒消息稱，近日黑客利用WordPress統(tǒng)計(jì)分析插件WP SlimStat的安全漏洞對(duì)大量Wordpress網(wǎng)站發(fā)起攻擊。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示，目前已有超過(guò)100萬(wàn)Wordpress網(wǎng)站受到牽連。

據(jù)悉，WP-Slimstat 3.9.6前的版本存在一個(gè)安全bug，即插件的秘鑰值過(guò)于“簡(jiǎn)單”，黑客可通過(guò)該漏洞向終端用戶的電腦發(fā)起SQL注入攻擊，或?qū)е掠脩裘舾行畔⒈槐I。

WordPress漏洞挖掘、安全研究者M(jìn)arc-Alexandre Montpas在其安全博客（sucuri.net）中寫道：“任何訪問(wèn)者都可以通過(guò)這一bug對(duì)低安全性的目標(biāo)網(wǎng)站“動(dòng)手腳”，如果你的WP-Slimstat插件版本安全性太低，就得小心了！”他還表示，“一旦網(wǎng)站被攻擊，黑客將可能從數(shù)據(jù)庫(kù)中獲取用戶名、哈希密碼、甚至是Wordpress秘鑰等敏感信息。”

WP-Slimstat的安全秘鑰就是插件安裝時(shí)間戳的哈希值，黑客通過(guò)互聯(lián)網(wǎng)檔案館（The Internet Archive）之類的網(wǎng)站便可獲取所需信息。這一過(guò)程中，黑客約需對(duì)3000萬(wàn)數(shù)據(jù)進(jìn)行排查，不過(guò)就是十分鐘的事兒。一旦秘鑰被破解，則可發(fā)起攻擊，獲取用戶敏感信息。

注：WP-Slimstat是一款Wordpress實(shí)時(shí)統(tǒng)計(jì)分析插件，功能強(qiáng)大、兼容性強(qiáng)。

（舉報(bào)）