W3 總緩存聖誕節漏洞
今年聖誕節,許多 WordPress 用戶對流行的 W3 Total Cache 外掛程式中的漏洞感到非常不愉快。這個問題很嚴重,攻擊者可以從 WordPress 資料庫中獲取敏感信息,包括密碼標籤、用戶名等等。這意味著經驗豐富的駭客可以完全訪問您的網站,從中下載您的個人信息,更改其外觀,通遼電話號碼數據 包含惡意代碼,添加後門以供將來訪問以及更多您不想經歷的壞事。聽起來很可怕嗎?如果您使用 SiteGround 託管,則不會!
W3 Total Cache 漏洞解釋
漏洞非常簡單——W3 Total Cache 有一個資料夾來儲存其資料庫快取。此資料夾應具有阻止外部存取它的權限。只有您的外掛程式應該能夠存取此目錄。不幸的是,由於某種原因,該資料夾被保留了允許每個人瀏覽它的權限。如果您為此資料夾啟用了目錄列表,問題會變得更糟,因為攻擊者可以簡單地下載快取檔案。但是,停用目錄清單也沒有幫助,因為它只會讓駭客更難存取您的檔案。只是一點點,因為檔案名稱可以被猜測,因為它們使用標準命名邏輯。
我們採取了哪些措施來保護我們託管的 WordPress 網站的安全?
像往常一樣,即使在聖誕節,SiteGround 安全團隊也保持警惕。該漏洞在sucuri.com上正式公佈後, 我們就制定了自己的解決方案,應用於伺服器級別,並防止透過此 WordPress 外掛程式安全漏洞可能發生的入侵。我們修補了 Web 伺服器以阻止對 w3 不安全資料夾的所有請求。因此,您的外掛程式可以繼續正常工作,同時您的資訊也保持安全。
如果您不是由 SiteGround 託管該怎麼辦?
官方的修補程式解決方案建議您將一個包含「deny from all」的.htaccess檔案新增至W3 Total Cache儲存資料庫快取的資料夾中—「/wp-content/w3tc/dbcache/」。因此我們強烈建議所有w3總快取用戶盡快套用該補丁。
