WordPress备份插件DoS漏洞影响 200,000个站点

　　

　　安装在 200,000 多个网站中的流行 WordPress 备份插件最近修补了一个可能导致拒绝服务攻击的高严重性漏洞。Wordfence 将 CVSS 严重性等级评级为“高”，得分为 7.5/10，表明插件用户应注意并更新其插件。

备份插件

　　该漏洞会影响 Backuply WordPress 备份插件。创建备份是每个网站的必要功能，而不仅仅是 WordPress 网站，因为备份可以帮助发布者在服务器发生故障并在灾难性故障中丢失数据时回滚到以前的版本。

　　网站备份对于网站迁移、黑客恢复和导致网站无法运行的失败更新非常宝贵。

　　Backuply 是一个特别有用的插件，因为它将数据备份到多个受信任的第三方云服务，并支持多种下载本地副本的方法，以创建冗余备份，以便在云备份出现故障时，可以从本地存储的另一个备份中恢复站点。

　　根据 Backuply：

“Backuply 带有本地备份和安全云备份，可与 FTP、FTPS、SFTP、WebDAV、Google Drive、Microsoft OneDrive、Dropbox、Amazon S3 轻松集成，并轻松一键恢复。”

影响 Backuply 的漏洞

　　美国政府国家漏洞数据库警告说，Backuply 1.2.5 及以下版本包含可能导致拒绝服务攻击的缺陷。

　　该警告解释道：

“这是由于直接访问备份/restore_ins.php文件。这使得未经身份验证的攻击者可以发出过多的请求，从而导致服务器资源耗尽。

拒绝服务 （DoS） 攻击

　　拒绝服务 （DoS） 攻击是指软件中的缺陷允许攻击者发出如此多的快速请求，以至于服务器耗尽资源，无法再处理任何进一步的请求，包括向网站访问者提供网页。

　　DoS 攻击的一个特点是，有时可以上传脚本、HTML 或其他代码，然后可以执行这些代码，从而允许攻击者执行几乎任何操作。

　　支持 DoS 攻击的漏洞被认为是关键的，应尽快采取措施缓解这些漏洞。

备份更改日志文档

　　官方的 Backuply 更新日志宣布了每个更新的详细信息，并指出在 1.2.6 版本中实施了修复。Backuply 的透明度和快速响应是负责任的，也是值得信赖的开发人员的标志。

　　根据更新日志：

“1.2.6（2024 年 2 月 8 日）[安全修复] 在某些情况下，可以填满日志并已修复。由 Villu Orav （WordFence） 报道”

建议

　　一般来说，强烈建议 Backuply 插件的所有用户尽快更新他们的插件，以防止发生不必要的安全事件。