Wordfence全新漏洞导致绝大多数的网站被劫持，Wordfence近期公布了某一危害局限性很广的安全难题，很多WordPress网址都遭受危害。这一漏洞履行的是WordPress的自动升级作用，此作用默认设置是打开的，又因为全部互联网技术上大概有27的网站都接受WordPress，因此Wordfence声称，全部web天地有27的网址都很有可能因而网站被黑。

简易说便是履行WordPress升级网络服务器的缺点，操纵该网络服务器，当然也就可以另外对全部接受WordPress的网址进行侵入了。

一击黑入全世界1/4的网址

在WordPress绿色生态中，api.wordpress.org网络服务器的关键作用取决于，为WordPress网站发布自动升级。各WordPress网站，每过一个钟头便会向该网络服务器建议要求，查验软件、主题风格和WordPress聚焦点升级。

api.wordpress.org网络服务器的回应就囊括了WordPress各一部分是不是必须自动升级，回应中也囊括免费下载和安裝更新软件的URL详细地址。

因此，要是拿下了这台网络服务器，网络黑客也就可以让全部的WordPress网站全自动从他们自己的URL免费下载和安全恶意软件了。换句话说，网络攻击根据api.wordpress.org的自动升级体制，就能规模性黑入很多WordPress网站。

全部过程事实上是彻底行得通的，因为WordPress自身并不出示手机软件的落款认证。它私募基金api.wordpress.org出示的随意URL详细地址移动和包。WordPress文本文档中有提及：默认设置状况下，每一个网站现代都市打开自动升级作用，消化吸收聚焦点文档升级。

依据Wordfence的叫法，网络黑客只必须对于api.wordpress.org一击，就能让全世界超越1/4的网址浸染恶意软件。

api.wordpress.org漏洞关键技术

这一升级网络服务器有一个GitHub webhook，它可以让WordPress聚焦点开发人员将编码同歩到wordpress.org SVN库，也就可以将GitHub做为其源码库了。这样一来，聚焦点开发人员要是在GitHub递交变更，便会开启api.wordpress.org的一个过程，也就能方便得从GitHub得到 全新编码。

这儿api.wordpress.org联络GitHub的URL也就是说白了的“webhook”，这器材是用PHP写的。此webhook的PHP是开源系统的，点一下这儿就能获得。

Wordfence对在其中的编码举办了分析，发觉了在其中的一个漏洞。网络攻击履行该漏洞就可以在api.wordpress.org上实行随意编码，并且得到 api.wordpress.org的会见权。事实上也就是远程控制代码执行漏洞了。

来源于GitHub的要求到达api.wordpress.org，那麼webhook会根据共享资源的hashing优化算法来确定，确实是GitHub传出的要求。全部过程是GitHub传出JSON数据信息，它会将数据信息和共享资源秘值举办参杂，hach后将hash值与JSON数据信息一同发送给api.wordpress.org。

api.wordpress.org接到要求以后，也将JSON数据信息和共享资源秘值举办参杂，随后算hach。最后实际效果倘若和GitHub发过来的搭配，也就证实了源泉是没什么问题的，是GitHub发过来的要求。