关于最新版本的WordPress网站错误修复的讨论

在2020年，WordPress博客系统才刚刚启动。网站安全检测到插件绕过漏洞。插件的开发公司已升级了插件并发布了1.7版。它修补了以前发布的漏洞。

公司网站漏洞引起的原因是未经未经身份验证的普通用户已授予系统管理员权限。黑客可以以网站管理员身份登录，并且可以将wp公司网站的所有数据表信息还原到以前的模式，然后上传webshell公司网站Trojan代码以篡改公司网站。 

此阶段的泄密版本包含最新的WP系统。  

此WP插件的主要功能是自定义网站主题的设计并导入代码，因此许多新手不了解代码设计，可以很快掌握此技巧来设计网站。目前，全球

使用该插件的人数超过25万个企业网站正在使用该插件，这是目前最环保的插件。 

受此网站漏洞影响的插件版本在1.5-1.6中存在。 

根据当前的WP官方数据和统计，使用此版本的用户和网站数量已达到95％。确实有太多网站受此漏洞影响。建议网站管理员尽快升级插件以修复该漏洞。  

网站漏洞的利用方法和条件必须是启用了主题插件并且插件被安装在公司网站上以受到该漏洞的攻击，从而使黑客有机会攻击该网站。 

 SINE安全技术在实际利用测试中也发现了一些问题。插件绕过漏洞利用的先决条件是它需要执行1个条件。网站数据库表中的普通用户必须具有管理员帐户。当前，

网站安全解决方案是尽快将插件升级到最新版本。一些公司网站不知道如何升级。首先，请在后台关闭插件，以防止黑客入侵。  

可以在Web环境中的wdcp_init Hook中运行该插件漏洞的修复程序，并且可以为不需要通过身份验证的普通用户启用/wp-wdcp/wdcp-ajax.tp框架。 

缺少身份验证就没有利用机会。 

如果wdcp普通用户存储在数据表中，未经未经身份验证的黑客将使用此帐户登录，并删除所有以定义的数据表前缀开头的内容。 

可以删除此用户以防止网站受到攻击。  

只要删除了所有表，它将在数据表中添加高级设置和数据信息，并且然后将普通wdcp用户的密码更改为已知的登录密码。 

一个安全组织在2月6日检测到该网站插件绕过漏洞，并在同一天向插件开发公司报告了其安全性。 

上周十天后，主题Grill插件公司发布了针对该网站漏洞的新修复程序。

版本。  

在撰写本文时，最新版本插件的下载次数已超过200,000，这表明仍然有许多公司网站尚未修复，仍然有遭受攻击的风险。 

对于WP官方数据安全中心发布的安全报告中显示的两个网站漏洞，当黑客利用这些网站漏洞时，它们将与此安全事件产生相同的影响。 

建议尽快升级使用此插件的wordpress公司网站以修复漏洞，以避免更大的经济损失和网站对公司的影响。  

其中之一是CVE-2020-7048允许未经授权身份验证的普通用户从其他数据表中重置该表，而另一个CVE-2020-7047是具有最低管理权限的帐户网站管理员。 

如果您不太了解网站代码，如何解决wordpress漏洞，或者您的网站是使用wp系统开发的，并且被黑客篡改了数据，您还可以找到专业的网站安全公司来进行处理。