BackupBuddy 是一个备份插件,来自于国外著名的 https://ithemes.com/backupbuddy/ ,最近被发现一个安全漏洞。该漏洞可能会破坏您的 WordPress 网站,因此要求所有客户确认您的网站正在运行 BackupBuddy 插件的 8.7.5 或更高版本。
此漏洞影响的对象
此漏洞仅影响运行 BackupBuddy 版本 8.5.8.0 至 8.7.4.1 的站点。
有迹象表明,这个漏洞正在被广泛利用。ithemes 于 2022 年 9 月 2 日收到与 BackupBuddy 安装相关的可疑活动的通知。ithemes 发现的最早漏洞似乎始于 2022 年 8 月 27 日。
一旦发现了这个漏洞,ithemes很快就发布了一个补丁来解决 BackupBuddy 版本 8.7.5 中的漏洞。
ithemes 已将此安全更新提供给所有易受攻击的 BackupBuddy 版本(8.5.8 – 8.7.4.1),无论您当前的 BackupBuddy 许可状态如何,因此没有人继续运行易受攻击的 BackupBuddy 插件版本。
ithemes 还为所有安装了 BackupBuddy 的 iThemes Sync 用户推送了自动更新。
黑客可以访问哪些信息?
此漏洞可能允许攻击者查看您的服务器上WordPress 目录的任何文件的内容。这可能包括 wp-config.php文件,并且根据您的服务器设置,还可能访问敏感文件如./etc/passwd
检查是否被攻击
要检测您的站点是否受到攻击,请查找以下危害指标。在服务器的访问日志中搜索包含 local-destination-id 和/etc/passwd / 或 wp-config.php 以及带有 HTTP 2xx 响应的任何文本。
您应该做什么:建议的后续步骤
1. 立即将 BackupBuddy 更新到 8.7.5 版本。
请更新到 BackupBuddy 8.7.5。立即修复此漏洞。即使您没有运行 BackupBuddy 的易受攻击版本之一,我们仍然建议您更新到 BackupBuddy 8.7.5 作为运行所有插件和主题的最新版本的最佳实践。
在多个 WordPress 网站上运行 BackupBuddy?使用iThemes Sync将您的所有站点快速更新到 BackupBuddy 8.7.5。
2. 按照上一节中的步骤搜索检查。
如果您确定您的网站可能已被入侵,我们建议您执行以下步骤。
重置您的数据库密码
您可能需要联系您的托管服务提供商来帮助您解决此问题。
更改您的 WordPress 盐
iThemes Security 可以通过 Tools > Change WordPress Salts 自动为您执行此操作。您可以按照我们关于如何更改 WordPress 盐和密钥的指南手动更新它们。
更换 wp-config.php 中的其他秘密
您可能已经在wp-config.php文件中存储了 Amazon S3 等服务的 API 密钥。如果是这样,这些应该被重置和更新。
如果您的服务器有暴露的 phpMyAdmin 安装,或者您的 WordPress 服务器连接到可公开访问的数据库服务器,我们建议从最早记录访问尝试之前的日期恢复到备份。如果无法做到这一点,请使用 Hack Repair 服务来帮助您手动清理 WordPress 网站。至少,您应该在您的网站上搜索并删除任何可疑的管理员用户,并为所有其他管理员用户重置密码。
如果您管理自己的服务器
考虑为所有用户轮换 SSH 密码。攻击者可以暴力破解文件中的散列密码,并可能继续获得对您服务器的进一步未经授权的访问。
考虑更新您的网络用户的 SSH 密钥。攻击者可以读取 Web 用户之前可能访问过的私有 SSH 密钥文件和相关的已知主机。
负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。 请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress!
