8款主流WordPress插件目前被黑客利用

一份新报告显示，针对WordPress网站的攻击越来越多，所有攻击都利用了主流WordPress插件中的安全漏洞。上个月针对WordPress网站的许多攻击都涉及黑客试图通过针对最近修补的插件错误来劫持网站。这里列出了所有插件，如果您在网站上使用这些插件，建议您立即对其进行更新，并保持警惕。

1. Duplicator （超过一百万的安装）文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

Duplicator是一个插件，可让网站所有者导出其网站内容。1.3.28版中修复了一个错误，该漏洞使攻击者可以导出站点内容，包括数据库。文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

2. ThemeGrill Demo Importer（200,000个安装）文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

ThemeGrill出售的主题都附带此插件中的错误，攻击者可以借此进入站点并接管管理员帐户。此错误已在1.6.3版中修复。文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

3. Profile Builder Plugin（65,000个安装）文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

此插件的免费和付费版本中的错误使黑客可以注册未授权的管理员帐户。该错误已于2月10日修复。文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

4. Flexible Checkout Fields for WooCommerce（20,000个安装）文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

该插件的零日漏洞利用允许攻击者注入XSS有效载荷，然后可以在已登录管理员的仪表板中触发该XSS有效载荷。攻击者使用XSS负载创建恶意管理员帐户。攻击于2月26日开始。此后已经发布了补丁。文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

5. ThemeREX Addons文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

该插件附带所有ThemeREX商业主题的零日攻击程序，使攻击者可以创建流氓管理员帐户。攻击于2月18日开始。尚未针对该错误发布补丁程序，因此建议网站所有者尽快删除该插件。文章源自MAY的SEO博客-https://may90.com/building/exploited-by-hackers.html

6. Async JavaScript （100,000个安装）

7. 10Web Map Builder for Google Maps（20,000个安装）

8. Modern Events Calendar Lite（40,000个安装）

赶紧检查一些，您的网站上是是否已经安装了这些WordPress插件。