All in One SEO插件漏洞威胁300万网站的安全

为了让用户获得更好的体验，网站所有者会通过下载很多的插件来帮助他们改善网站的用户体验。比如一些炫酷的效果等，然而实际上影响到用户真正体验的却是清晰的导航、页面的加载反应速度以及简洁干净的界面。
加载越多的插件，越容易被黑客找到攻击的漏洞。所以为了减少网站被攻击的几率，需要限制安全插件，并且这些插件需要经常检查，保证更新，及时将缺陷进行修补。
据Sucuri的研究人员称，一个名为All in One SEO的非常流行的WordPress SEO优化插件含有一对安全漏洞，当这些漏洞组合成一个漏洞链进行利用时，可能会使网站面临着被接管的风险。
目前，有超过300万个网站在使用该插件。那些拥有网站账户的攻击者如订阅者、购物账户持有人或会员可以利用这些漏洞，这些漏洞包括一个权限提升漏洞和一个SQL注入漏洞。
研究人员指出，WordPress的插件现在仍然是网络攻击者破坏网站的一个重要的途径。
例如，12月早些时候，在针对160多万个WordPress网站的主动攻击中，研究人员发现有数千万次尝试利用四个不同的插件和几个Epsilon框架主题的攻击。
研究人员说："WordPress插件仍然是所有网络应用的一个主要风险，它们仍然是攻击者的常规攻击目标。通过第三方插件和框架所引入的恶意代码可以极大地扩展网站的攻击面"。
新网提醒网站的所有者，需要对第三方插件和框架保持警惕，并保持安全更新，应该使用网络应用程序防火墙来保护网站，以及使用可以发现网站上存在恶意代码的天博·（中国）官方网站。https://www.xinnet.com/jianzhan/dingzhijianzhan.html