WordPress中一个流行插件的严重漏洞可能允许黑客控制面向用户的加密网站。这个漏洞可能为恶意行为者提供插入钓鱼页面、伪造钱包链接和恶意重定向的机会。
尽管这个漏洞不影响钱包系统或代币合约,但它暴露了用户用于安全与加密服务交互的界面基础设施。尽管插件已经修复了漏洞,但仍有数万个网站未受保护,仍在运行旧版本。
WordPress插件的欺诈可能性
加密犯罪正在上升,许多意想不到的方法可能导致新的钓鱼攻击。例如,一份来自数字安全公司Patchstack的报告披露了一个可能导致新加密钓鱼的WordPress漏洞。
"Post SMTP插件,有超过400,000次安装,是一个电子邮件发送插件。在3.2.0及以下版本中,该插件容易受到其REST API端点中多个访问控制破坏漏洞的影响……允许任何已注册用户(包括订阅者级别的用户,这些用户本不应有任何权限)执行各种不同的操作,"报告称。
这些功能包括:查看电子邮件数量统计、重新发送电子邮件和查看电子邮件日志详情,包括完整的电子邮件内容。
一个WordPress黑客可以利用这个漏洞拦截密码重置邮件,从而可能控制管理员账户。
加密领域的多个目标
那么,这个WordPress漏洞如何可能导致加密钓鱼?不幸的是,可能性是无穷的。伪造的客户支持电子邮件在最近的许多钓鱼攻击中扮演了重要角色,因此限制电子邮件控制已经很危险。
一个被入侵的WordPress网站可以通过使用恶意脚本和重定向在外部链接中插入伪造的筹码和钓鱼网站。
黑客可以收集密码并尝试在交易所列表上使用它们。他们甚至可以在用户打开特定页面时插入恶意软件。
我的钱包安全吗?
表面上,大多数加密钱包和代币平台并不使用WordPress作为其核心基础设施。然而,它通常用于面向用户的功能,如主页和客户支持。
如果一个小型或新项目缺乏强大的技术团队并被入侵,安全漏洞可能不会被发现。被感染的WordPress账户可能会收集用户信息以供未来钓鱼,或直接将客户引导至钓鱼攻击。
如何保护自己
幸运的是,Patchstack已迅速发布了此漏洞的补丁。但超过10%的Post SMTP用户尚未安装补丁。这意味着大约40,000个网站容易被挖矿,代表着一个巨大的安全风险。
聪明的加密用户应保持冷静并采取标准安全措施。不要相信随机的电子邮件链接,坚持使用值得信赖的项目,使用硬件钱包等。最大的责任在于网站运营者。
如果一个小型加密项目运行WordPress网站而不下载Patchstack的补丁,黑客可以利用它执行无穷无尽的钓鱼攻击。总之,加密用户只要对非正统项目保持谨慎,就能保持安全。
