一个流行的WordPress插件中的关键漏洞可能允许黑客劫持面向用户的加密网站。这一漏洞可能为恶意行为者创造注入钓鱼页面、虚假钱包链接和恶意重定向的机会。
虽然这个缺陷不会影响钱包后端或代币合约,但它暴露了用户依赖的前端基础设施,以安全地与加密服务交互。尽管该插件已被修补,但仍有数万个网站保持未受保护状态,运行过时版本。
WordPress插件的诈骗潜力
加密犯罪目前正处于高峰期,许多意想不到的途径可能会产生新的诈骗攻击。例如,数字安全公司Patchstack最近的一份报告揭示了一个新的WordPress漏洞,可能会引发新的加密诈骗。
"Post SMTP插件拥有超过40万个安装,是一个电子邮件发送插件。在3.2.0及以下版本中,该插件在其REST API端点存在多个访问控制漏洞……允许任何注册用户(包括本应没有任何权限的订阅者级用户)执行各种操作,"报告称。
这些功能包括:查看邮件数量统计、重新发送邮件以及查看详细的邮件日志,包括整个邮件正文。
WordPress黑客可以利用这一漏洞拦截密码重置邮件,从而可能获得管理员账户的控制权。
加密领域的众多目标
那么,这个WordPress漏洞如何可能导致加密诈骗?不幸的是,可能性几乎是无穷无尽的。虚假客户支持邮件在最近的许多钓鱼尝试中发挥了关键作用,因此即使是有限的邮件控制也已经很危险。
使用WordPress的被入侵网站可以使用恶意脚本和重定向,在外部链接中插入虚假代币和诈骗网站。
黑客可以收集密码并尝试在交易所列表中使用它们。他们甚至可以在每个打开特定页面的用户中注入恶意软件。
我的钱包安全吗?
表面上看,大多数加密钱包和代币平台并不使用WordPress作为核心基础设施。然而,它经常用于用户端功能,如主页和客户支持。
如果一个没有坚实工程团队的小型或新项目被入侵,安全漏洞可能会被忽视。被感染的WordPress账户可能会收集用户信息以用于未来的诈骗,或直接将客户引导至钓鱼企图。
如何保持安全
幸运的是,Patchstack迅速为这个特定漏洞发布了修复。但超过10%的Post SMTP用户尚未安装修复程序。这意味着大约4万个网站容易遭到利用,代表着巨大的安全风险。
精明的加密用户应保持冷静并遵循标准安全实践。不要相信随机邮件链接,坚持使用可信项目,使用硬件钱包等。最大的责任在于网站运营者本身。
如果一个小型加密项目运行WordPress网站且未下载Patchstack的漏洞修复,黑客可能会利用它进行无穷无尽的诈骗。简而言之,只要加密用户对非主流项目保持谨慎,他们就应该是安全的。
