WordPress上的PHP Everywhere插件曝出三个高危RCE漏洞

Bleeping Computer 报道称：安全研究人员在 WordPress 的“PHP Everywhere”插件中发现了三个严重的远程代码执行（RCE）漏洞，导致全球超过 3 万个使用该插件的网站都受到了影响。据悉，该插件旨在方便管理员在页面、帖子、侧边栏、或任何 Gutenberg 块中插入 PHP 代码，并借此来显示基于评估的 PHP 表达式的动态内容。

Wordfence 安全分析师指出，CVSS v3 评分高达 9.9 的这三个漏洞，可被贡献着或订阅者所利用，且波及 2.0.3 及以下的所有 WordPress 版本。

首先是 CVE-2022-24663：

其次是 CVE-2022-24664：

然后是 CVE-2022-24665：

尽管后两个漏洞因需要贡献者的权限级别而不那么容易被利用，但首个漏洞还是让业界感到惊诧不已。

截图（来自：Wordfence）

在 2022 年 1 月 4 日发现了上述漏洞字后，Wordfence 团队很快就向 PHP Everywhere 作者通报了此事。

尴尬的是，尽管开发者行动迅速，但网站管理员普遍不怎么会定期更新其 WordPress 网站和插件。

有鉴于此，考虑到三个 RCE 漏洞的严重性，我们在此强烈建议所有 PHP Everywhere 用户确保其已升级到最新可用的 3.0.0 版本。

WordPress插件影响网站安全性吗？

安装WordPress插件时，安全性是另一个主要问题。许多用户担心拥有更多插件会使他们的网站更加脆弱。

没错，一个编码错误的WordPress插件可能会被黑客利用，并使您的网站容易受到攻击。但是，对于几乎所有存在的软件也是如此。

监督必将发生。但是，关于开源的最好之处在于，许多人正在使用该软件，这使得发现和修复漏洞的速度更快。

您可以使用Sucuri等WordPress安全插件来保护您的网站安全。他们扫描成千上万个网站，并通过有漏洞的插件帮助您解决大多数安全问题。

您还可以通过提高整体WordPress安全性来保护您的网站。这使您可以在黑客可以利用任何漏洞之前添加安全保护层。

WordPress插件和可靠性

有些人担心插件的可靠性。如果插件停产怎么办？如果更新缓慢怎么办？

关于开源WordPress生态系统的美丽之处在于，总有其他选择。

如果您使用流行的插件，则很有可能不会停止使用。如果是这样，那么其他人可能会分叉它并继续开发。那就是开源的力量。这也是WordPress出现的方式（以前的平台称为b2 / cafelog）。

只要您选择具有良好记录并享有声誉的作者的插件，就可以了。