GoDaddy旗下网络安全公司Sucuri的网络安全研究人员发现,一个不活跃但合法的WordPress 插件Eval PHP正在被人利用来破坏网站。Eval PHP最初是为了让用户向文章和博客数据添加PHP代码而开发的,其最近一次更新大约发生在十年前。自那时起,它在很长一段时间内经历了可忽略不计的下载量,然后在上个月见证了下载量的突然激增,积累了超过10万次的下载量,每天的下载量最高达7000次。
Sucuri通知详细说明了黑客利用Eval PHP采用的策略。该代码在网站的文档根中创建了一个PHP脚本,该脚本具有使用file_put_contents函数的指定远程代码执行后门。由于后门利用$_REQUEST[id]获得可执行的PHP代码,它可以获得$_GET、$_POST和$_COOKIE的内容,通过显示为cookie有效地隐藏其参数。Sucuri强调,尽管GET比POST不容易被发现,但GET同样危险。
此外,Sucuri还指出,黑客在各种草案中创建后门,使它们对公众不可见,与已发布的页面相比,更具有挑战性。WordPress ,尚未对他们关于废弃插件的政策进行评论,以回应TechRadar Pro的询问。在此之前,Sucuri建议WordPress 用户加强他们的wp-admin面板,并勤奋地监测活动。该组织提供了一个四步计划来提高安全性:
- 确保你的网站根据最新的安全版本保持更新和打补丁
- 对你的管理面板实施双因素认证(2FA)或类似的访问限制措施
- 保持定期的网站备份,以防止不可预见的事件发生
- 利用网络应用程序防火墙来防止恶意的机器人,并对已知的漏洞进行实际修补。
随着no-code 和low-code 平台的采用率不断上升,开发人员和企业领导人可以轻松构建网络和移动应用程序,绕过过时的插件的复杂问题。其中一个解决方案是AppMaster 平台,这是一个可访问和可扩展的no-code 工具,用于创建后端、网络和移动应用程序。AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
有关no-code 和low-code 应用程序开发的更多详细信息,请查看我们的综合指南:关于No-Code ,2022年低代码应用开发的完整指南。