WordPress漏洞报告特别版 – 2022年9月6日:BackupBuddy

我们最近在BackupBuddy插件中发现了一个安全漏洞。该漏洞可能会破坏您的 WordPress 网站，因此我们要求所有客户确认您的网站正在运行 BackupBuddy 插件的 8.7.5 或更高版本。

此漏洞影响的对象

此漏洞仅影响运行 BackupBuddy 版本 8.5.8.0 至 8.7.4.1 的站点。有迹象表明，这个漏洞正在被广泛利用。我们于 2022 年 9 月 2 日收到与 BackupBuddy 安装相关的可疑活动的通知。我们发现的最早漏洞似乎始于 2022 年 8 月 27 日。

一旦我们确定了该漏洞利用，我们在 2022 年 9 月 2 日发布了一个补丁，以解决 BackupBuddy 版本 8.7.5 中的漏洞利用。
我们已将此安全更新提供给所有易受攻击的 BackupBuddy 版本（8.5.8 – 8.7.4.1），无论您当前的 BackupBuddy 许可状态如何，因此没有人继续运行易受攻击的 BackupBuddy 插件版本。
我们还为所有安装了 BackupBuddy 的 iThemes Sync 用户推送了自动更新。

黑客可以访问哪些信息？

此漏洞可能允许攻击者查看您的服务器上可以被您的 WordPress 安装读取的任何文件的内容。这可能包括 WordPresswp-config.php文件，并且根据您的服务器设置，敏感文件（如./etc/passwd

妥协指标

要检测您的站点是否受到攻击，请查找以下危害指标。在服务器的访问日志中搜索包含local-destination-id和/或带有HTTP 2xx 响应的任何文本。（如果您需要这方面的帮助，请通过在iThemes 帮助台上创建支持票与我们的支持团队联系。）/etc/passwdwp-config.php

您应该做什么：建议的后续步骤

1. 立即将 BackupBuddy 更新到 8.7.5 版本

请更新到 BackupBuddy 8.7.5。立即修复此漏洞。即使您没有运行 BackupBuddy 的易受攻击版本之一，我们仍然建议您更新到 BackupBuddy 8.7.5 作为运行所有插件和主题的最新版本的最佳实践

2. 按照上一节中的步骤搜索妥协

如果您确定您的网站可能已被入侵，我们建议您执行以下步骤。

重置您的数据库密码。您可能需要联系您的托管服务提供商来帮助您解决此问题。
更改您的 WordPress 盐。iThemes Security 可以通过 Tools > Change WordPress Salts 自动为您执行此操作。您可以按照我们关于如何更改 WordPress 盐和密钥的指南手动更新它们。
轮换 wp-config.php 中的其他秘密。您可能已经在wp-config.php文件中存储了 Amazon S3 等服务的 API 密钥。如果是这样，这些应该被重置和更新。

如果您的服务器有暴露的 phpMyAdmin 安装，或者您的 WordPress 服务器连接到可公开访问的数据库服务器，我们建议从最早记录访问尝试之前的日期恢复到备份。如果无法做到这一点，请使用 Hack Repair 服务来帮助您手动清理 WordPress 网站。至少，您应该在您的网站上搜索并删除任何可疑的管理员用户，并为所有其他管理员用户重置密码。