WordPress热门插件现重大安全漏洞，上千万网站面临黑客入侵风险

有一个在WordPress里十分流行 的插件，出现了重大安全漏洞，致使上千万网站处于面对黑客入侵的危险状况 。

有一个漏洞，它是由WordPress漏洞扫描器的开发者瑞恩·迪赫斯特（Ryan Dewhurst）发现的，此漏洞所涉及的插件名为“WordPress SEO by Yoast”，该插件的作用是用于网站的搜索引擎优化，它属于最流行的WordPress插件之一，到目前其下载量已经超过1400万，并且所有在1.7.3.3及以前版本的该插件均可被SQL盲注攻击。

该漏洞存在于

在admin/class - bulk - editor - list - table.php这个文件里，只有管理员、编辑以及作者这类被授权的用户才能够进行访问，所以，攻击者需要借助社会工程手段去欺骗被授权的用户，让其点击经过特殊构造的链接，以此来激发漏洞利用程序，随后，漏洞利用程序会在受害者的网站之上执行SQL查询代码。

瑞恩发布了一段利用此漏洞的SQL盲注概念验证代码：

这看起来不像是一个可正常改写在常规语言表达范畴内的内容呀，它似乎是一段代码片段。按照要求勉强改写如下：从（选择（睡眠（10）的那个计算结果）的那个集合中）选择所有内容，并且排序为升序。&order=asc （这里“&order=asc”不太明确如何更好去融入改写但保留原样放最后） 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 再啰嗦也难把代码完整通顺改写呀，这样形式不知道是否符合要求 。 。

插件的开发者于博客里宣称，已然在最新版本1.7.4当中打上了补丁，向WordPress的网站管理者建议马上更新到插件的最新版本，要是你的WordPress乃3.7版本以及以上，可依据以下路径去执行插件自动更新：

管理，转入插件与主题，查看自动更新。