今天VempX联络我说Blog被黑了。结果我一看我俩的Blog、爱乳发布页都被黑了。症状是最新一条Blog文章遭到修改,标题和内容变成了“Hacked By BALA SNIPER”。
我的WordPress用的是强密码且不存在密码重复使用的问题,平日里后台也做了不少加强安全性的工作。因此可以初步排除爆破、撞库、社工渗透的可能性。
网上查了一下,同样症状的应该不少,日本WordPress社区有人提问相同的问题。原因貌似是WordPress 4.7和4.7.1的权限验证存在逻辑漏洞,造成恶意用户可以跳过用户登录直接修改某条特定ID的文章。
继续阅读WordPress 4.7和4.7.1的提权漏洞