流行的WordPress插件WP Statistics允许黑客窃取数据库

　　想象一下，尽管你采取了一切预防措施，但你的网站遭到黑客攻击并且黑客窃取了你的所有数据。密码很强，但仍然访问了您的网站。嗯，如果黑客通过数据库中安装的插件找到了一条路径，这是可能的。结果发现流行的WordPress插件WP Statistics存在漏洞，可能允许黑客访问具有管理员权限的站点。

　　安全公司Sucuri发布了一份报告称，流行的WordPress插件WP Statistics有一个SQL注入漏洞。这个插件非常受欢迎，目前已安装在超过300,000个站点上。该插件在用户提供的数据部分很容易受到攻击。就好像，任何拥有该站点简单订户帐户的人都可能泄露该站点的数据。

　　WordPress插件WP统计数据易受攻击

　　WordPress为用户提供了一个API，允许开发人员编写代码，以便用户可以使用短代码进行注入。WP Statistics插件允许用户检查站点的统计信息并使用短代码调用必要的信息。，该漏洞使得它在提供信息之前没有检查管理员权限，而只有订阅者帐户的任何人都可以访问它。

　　在这种情况下攻击的典型示例是攻击者在站点上创建订户帐户并在任何页面上留下评论。评论将有一个javascript来执行预期的操作。Sucuri说，一旦管理员访问评论部分以检查批准，javascript就会以管理员权限运行。

　　来自芬兰的安全专家Jouko Pynnonen说“如果攻击者通过插件编辑器在服务器上编写新的PHP代码，则可以使用另一个AJAX请求即时执行它，从而使攻击者获得服务器上的操作系统级访问权限。”

　　尽管听起来很可怕，但所有这些都源于单个WordPress插件中的缺陷。该错误已得到修复，强烈建议尽快更新该插件。还建议完整的WordPress更新。