WordPress自动更新机制的严重漏洞：全球超1/4网站可被黑客攻击

Wordfence最近披露了某个影响范围很广的安全问题，大量WordPress网站都受到影响。这个漏洞利用的是WordPress的自动更新功能，此功能默认是开启的，又因为整个互联网上大约有27%的站点都采用WordPress，所以Wordfence宣称，整个web世界有27%的网站都可能因此被黑。

简单说就是利用WordPress更新服务器的弱点，控制该服务器，自然也就能够同时对所有采用WordPress的网站完成入侵了。

一击黑入全球1/4的网站

在WordPress生态中，api.wordpress.org服务器的重要功能在于，为WordPress站点发布自动更新。各WordPress站点，每隔1个小时就会向该服务器发起请求，检查插件、主题和WordPress核心更新。

api.wordpress.org服务器的响应就包括了WordPress各部分是否需要自动更新，响应中也包含下载和安装更新软件的URL地址。

于是，只要搞定了这台服务器，黑客也就能够让所有的WordPress站点自动从他们自己的URL下载和安全恶意程序了。也就是说，攻击者通过api.wordpress.org的自动更新机制，就能大规模黑入大量WordPress站点。

整个过程实际上是完全可行的，因为WordPress本身并不提供软件的签名验证。它信任api.wordpress.org提供的任意URL地址和包。WordPress文档中有提到：默认情况下，每个站点都会开启自动更新功能，接收核心文件更新。

按照Wordfence的说法，黑客只需要针对api.wordpress.org一击，就能让全球超过1/4的网站感染恶意程序。

问题根源没有解决？

Wordfence是在今年9月份将该漏洞上报给Automattic（WordPress母公司）的，Automattic与9月7日向代码库推了fix。不过Wordfence表示api.wordpress.org仍然是部署WordPress核心、插件和主题升级的单点故障根源所在。

Wordfence表示曾经试图与Automattic安全团队就有关自动升级系统的安全问题展开对话，但没有得到任何回应。大约在3年前，就有相关WordPress服务器部署认证机制的探讨，目前都还没有任何进展。（原文参考来源：Wordfence 转载自FreeBuf）