WordPress插件零日漏洞影响数千个网站

WordPress插件，叫做WordPress的FancyBox成千上万的网站在最流行的博客平台Wordpress上运行。

在野外利用0天漏洞

网络安全公司Sucuri的安全研究人员周三发出警告，称“零日”漏洞正在被发现在野外积极开发“恶意黑客为了感染尽可能多的受害者。

虽然目前互联网上有7000多万个网站运行WordPress内容管理系统，但超过50万个网站使用WordPress的FancyBox“插件，使其成为Wordpress的热门插件之一，用于以所谓的方式显示图像、HTML内容和多媒体”灯箱“它漂浮在网页上。。

黑客向网站注入恶意软件

该漏洞允许攻击者将恶意iframe（或任何随机脚本/内容）注入易受攻击的网站，通常会将受害者重定向到“203koko”网站。

"所有感染都有一个类似于“203koko”的恶意iframe注入网站，“发现该漏洞的Sucuri创始人兼首席技术官丹尼尔·西德（Daniel Cid）在一份咨询报告中写道。”在分析受感染的网站时，我们发现所有网站都在使用FancyBox for WordPress插件。"

WordPress插件的FancyBox已经从WordPress插件目录中暂时删除，研究人员建议用户/WordPress开发者/WordPress程序员删除该插件，因为它已经两年没有更新，并且对用户构成安全威胁。

发布补丁

在不浪费太多时间的情况下，开发人员在周四发布了两个新版本的插件，以修复零日漏洞。版本3.0.3解决了实际的缺陷，而昨天晚些时候由JoséPardilla发布的版本3.0.4重新命名了问题产生的插件设置。

根据插件变更日志，最新的更新将阻止恶意代码出现在插件更新的网站上，而不会删除恶意代码。建议在网站上安装了FancyBox for WordPress插件的用户立即应用补丁。

WordPress是一个免费的开源博客工具和一个内容管理系统（CMS），拥有超过30000个插件，每个插件都提供自定义功能和特性，使用户能够根据自己的具体需求定制网站。它很容易安装和使用，这就是为什么世界上数以千万计的网站选择它，因此，WordPress网站是黑客最喜欢的目标。