使用ThemeGrill提供的商业主题的WordPress站点用户注意了，建议大家赶紧更新与这些主题一起安装的一个插件，以便修补一个允许攻击者清除网站的关键漏洞。

该漏洞存在于ThemeGrill Demo Importer，该插件附带附带了出售商业WordPress主题的web开发公司ThemeGrill出售的主题。

这个插件安装在 20 多万个网站上，允许网站所有者将演示内容导入他们的ThemeGrill主题中，这样他们可以通过示例的基础上构建自己的网站。

然而，在昨天发布的一份报告中，WordPress安全公司WebARX表示，老版本的ThemeGrill Demo Importer很容易受到未经身份验证的攻击者的远程攻击。远程黑客可以向易受攻击的网站发送特制的有效载荷，并触发插件内部的功能。

易受攻击的函数将站点的内容重置为零，有效地清除了所有WordPress站点中ThemeGrill主题激活的内容，并且安装了易受攻击的插件。

此外，如果站点的数据库包含一个名为“admin”的用户，那么攻击者将被授予对该用户的访问权，该用户拥有站点的完全管理员权限。

WebARX表示，该漏洞影响了所有1.3. 4 到1.6. 1 版本的ThemeGrill Demo Importer插件。插件的开发者ThemeGrill修复了这个漏洞，并在周末发布了1.6. 2 版。（zdnet）