wordpress|数以百万计的 WordPress 网站被迫更新以修补关键插件漏洞

数以百万计的 WordPress 网站在过去一天收到了强制更新，以修复名为 UpdraftPlus 的插件中的一个严重漏洞。
强制性补丁是应 UpdraftPlus 开发人员的要求发布的，因为该漏洞的严重性允许不受信任的订阅者、客户和其他人只要在易受攻击的站点上拥有帐户，就可以下载该站点的私有数据库。数据库经常包含有关客户或站点安全设置的敏感信息，使数百万站点容易遭受严重的数据泄露，导致密码、用户名、IP 地址等泄露。
结果不好，容易被利用【wordpress|数以百万计的 WordPress 网站被迫更新以修补关键插件漏洞】UpdraftPlus 简化了备份和恢复网站数据库的过程，是互联网上使用最广泛的 WordPress 内容管理系统计划备份插件。它简化了到 Dropbox、Google Drive、Amazon S3 和其他云服务的数据备份。它的开发人员表示，它还允许用户安排定期备份，并且比竞争的 WordPress 插件更快并且使用更少的服务器资源。
“这个漏洞很容易被利用，如果被利用会产生非常糟糕的后果， ”发现漏洞并私下向插件开发人员报告的安全研究员 Marc Montpas 说。“它使低权限用户可以下载站点的备份，其中包括原始数据库备份。低权限帐户可能意味着很多事情。定期订阅者、客户（例如在电子商务网站上）等。 ”
网站安全公司 Jetpack 的研究员 Montpas 表示，他在对插件进行安全审计时发现了该漏洞，并于周二向 UpdraftPlus 开发人员提供了详细信息。一天后，开发人员发布了一个修复程序，并同意在安装了插件的 WordPress 网站上强制安装它。
WordPress.org 提供的统计数据显示，周四有 170 万个网站收到了更新，截至发稿时还有超过 287000 个网站安装了它。WordPress 表示该插件有 3+ 百万用户。