WordPress Analytics插件使130万个网站容易受到黑客攻击

该漏洞实际上存在于大多数版本的WordPress插件中，该插件名为可湿性粉末Slimstat（WP Slimstat）.虽然目前互联网上有超过7000万个网站运行WordPress，但其中超过130万个网站使用了“WP Slimstat”插件，使其成为WordPress强大的实时网络分析插件之一。

最新版本之前的所有WP Slimstat版本Slimstat 3.9.6包含一个容易猜测的“秘密”密钥网络安全公司Sucuri在周二发布的一篇博客文章中解释说，它被用来签署从访问的最终用户计算机发送的数据。

一旦脆弱的“秘密”密钥被破解，攻击者就可以执行SQL注入攻击攻击目标网站，以便从受害者数据库中获取高度敏感的信息，包括加密密码和用于远程管理网站的加密密钥。

"如果你的网站使用易受攻击的插件版本，你就有风险Sucuri的高级漏洞研究员马克·亚历山大·蒙帕斯写道。

"成功利用此漏洞可能会导致盲目的SQL注入攻击，这意味着攻击者可以从您的数据库中获取敏感信息，包括用户名、（散列）密码，以及在某些配置中的WordPress密钥（这可能会导致整个网站被接管）。"

WP Slimstat“secret”密钥只是插件安装时间戳的MD5哈希版本。通过使用Internet Archive等网站，黑客可以轻松识别目标易受攻击的网站在互联网上出现的年份。

这将使攻击者有大约3000万个值要测试，而大多数现代CPU可以在大约10分钟内完成测试。一旦检测到密钥，攻击者就可以使用该密钥将敏感数据拖出数据库。

在WordPress内容管理系统上运行网站并安装了此流行WP Slimstat插件的用户被警告立即升级其网站，以保护您的网站免受此危险漏洞的影响。