WordPress中一個流行外掛的嚴重漏洞可能允許駭客控制面向使用者的加密網站。這個漏洞可能為惡意行為者提供插入釣魚頁面、偽造錢包連結和惡意重定向的機會。
儘管這個漏洞不影響錢包系統或代幣合約,但它暴露了使用者用於安全與加密服務互動的介面基礎設施。儘管外掛已經修復了漏洞,但仍有數萬個網站未受保護,仍在執行舊版本。
WordPress外掛的欺詐可能性
加密犯罪正在上升,許多意想不到的方法可能導致新的釣魚攻擊。例如,一份來自數字安全公司Patchstack的報告披露了一個可能導致新加密釣魚的WordPress漏洞。
"Post SMTP外掛,有超過400,000次安裝,是一個電子郵件傳送外掛。在3.2.0及以下版本中,該外掛容易受到其REST API端點中多個訪問控制破壞漏洞的影響……允許任何已註冊使用者(包括訂閱者級別的使用者,這些使用者本不應有任何許可權)執行各種不同的操作,"報告稱。
這些功能包括:檢視電子郵件數量統計、重新發送電子郵件和檢視電子郵件日誌詳情,包括完整的電子郵件內容。
一個WordPress駭客可以利用這個漏洞攔截密碼重置郵件,從而可能控制管理員賬戶。
加密領域的多個目標
那麼,這個WordPress漏洞如何可能導致加密釣魚?不幸的是,可能性是無窮的。偽造的客戶支援電子郵件在最近的許多釣魚攻擊中扮演了重要角色,因此限制電子郵件控制已經很危險。
一個被入侵的WordPress網站可以透過使用惡意指令碼和重定向在外部連結中插入偽造的籌碼和釣魚網站。
駭客可以收集密碼並嘗試在交易所列表上使用它們。他們甚至可以在使用者開啟特定頁面時插入惡意軟體。
我的錢包安全嗎?
表面上,大多數加密錢包和代幣平臺並不使用WordPress作為其核心基礎設施。然而,它通常用於面向使用者的功能,如主頁和客戶支援。
如果一個小型或新專案缺乏強大的技術團隊並被入侵,安全漏洞可能不會被發現。被感染的WordPress賬戶可能會收集使用者資訊以供未來釣魚,或直接將客戶引導至釣魚攻擊。
如何保護自己
幸運的是,Patchstack已迅速釋出了此漏洞的補丁。但超過10%的Post SMTP使用者尚未安裝補丁。這意味著大約40,000個網站容易被挖礦,代表著一個巨大的安全風險。
聰明的加密使用者應保持冷靜並採取標準安全措施。不要相信隨機的電子郵件連結,堅持使用值得信賴的專案,使用硬體錢包等。最大的責任在於網站運營者。
如果一個小型加密專案執行WordPress網站而不下載Patchstack的補丁,駭客可以利用它執行無窮無盡的釣魚攻擊。總之,加密使用者只要對非正統專案保持謹慎,就能保持安全。
