快讯
只需片刻,洞察 WordPress 建站周边
8月29
-
WordPress 多语言插件 WPML 存在远程代码执行漏洞,请更新到最新版
19:15 作者:倡萌流行的 WordPress 多语言插件 WPML 已安装在超过 1,000,000 个网站上,现已修复远程代码执行 (RCE)漏洞 (CVE-2024-6386),研究人员已将该漏洞归类为“严重”,CVSS 评分为 9.9。强烈建议用户将其网站更新至修复后的版本 WPML 4.6.13。 安全研究员Mat Rollings(stealthcopter)通过 Wordfence Bug Bounty…
8月23
-
LiteSpeed Cache 插件修复严重权限提升漏洞,请立即更新!
17:02 作者:倡萌LiteSpeed Cache 插件被广泛用于提高 WordPress 网站的速度和性能,最近它修补了一个严重的未经身份验证的权限提升漏洞 (CVE-2024-28000)。该插件拥有超过 500 万个活跃安装,是许多 WordPress 用户的关键工具。 Patchstack Alliance 社区成员John Blackbourn报告了该漏洞,并获得了 14,400 美元的奖励,这是 Word…
7月05
-
Polyfill.js 漏洞对 WordPress 生态系统产生影响
17:17 作者:倡萌2024 年 6 月 25 日,Sansec发布了有关 Polyfill 供应链攻击的安全公告文章。 介绍 Polyfill.js 是一个流行的 JavaScript 库,它为不支持它的旧版浏览器提供了现代功能。Polyfill.js 的实现主要以脚本的形式附加到 HTML 标记中。这允许代码运行动态操作过程以在使用它的网站上执行 JS 代码。此库实现主要使用托管在*.polyfill.io或特别…原文连接
3月30
-
11 个 Elementor 插件中的 15 个漏洞影响超过 300 万个 WordPress 网站
11:57 作者:倡萌研究人员已针对 11 个独立的 Elementor 附加插件发布了建议,其中包含 15 个漏洞,这些漏洞可能使黑客能够上传恶意文件。其中一个被评为高威胁漏洞,因为它可以让黑客绕过访问控制、执行脚本并获取敏感数据。 两种不同类型的漏洞 大多数漏洞都是存储跨站脚本 (XSS)。其中三个是本地文件包含。 XSS 漏洞是 WordPress 插件和主题中最常见的漏洞形式之一。它们通常是由输入数据保护方式(…
3月29
-
Elementor 插件爆出 6 个安全漏洞,请尽快更新
23:53 作者:倡萌安全研究人员针对 Elementor Website Builder 及其专业版中发现的六个独特 XSS 漏洞发布了公告,这些漏洞可能允许攻击者注入恶意脚本。 Elementor 网站构建器 Elementor 是领先的网站构建平台,在全球拥有超过 500 万活跃安装量,官方 WordPress 存储库声称它为全球超过 1600 万个网站提供支持。拖放界面允许任何人快速创建专业网站,而专业版则通过…
2月29
-
WordPress 主题 Avada 修复任意文件上传漏洞,请尽快更新
22:54 作者:倡萌ThemeFusion 的多用途 WordPress 主题Avada已修复任意文件上传漏洞。Avada 是 ThemeForest 最受欢迎的优质主题之一,销量接近 95 万。 Muhammad Zeeshan (Xib3rR4dAr) 在Wordfence的 Bug Bounty Extravaganza期间负责任地报告了此漏洞,并为他赢得了 2,751 美元。研究人员将其归类为“高…
1月26
-
Better Search Replace 1.4.4 插件严重漏洞,请尽快更新到最新版
11:46 作者:倡萌WordPress 的 Better Search Replace 插件中发现并修补了一个严重严重漏洞,该插件拥有超过 100 万个活跃网站安装。成功的攻击可能导致任意文件删除、敏感数据检索和代码执行。 漏洞的严重级别 漏洞的严重性按照评分系统进行评分,评级范围从低到严重: 低0.1-3.9 中4.0-6.9 高7.0-8.9 严重9.0-10.0 Better Search Replace 插件…
1月23
-
文件管理器插件 File Manager 7.2.1 及以下版本存在严重漏洞
21:32 作者:倡萌广泛使用的 WordPress 文件管理器插件 File Manager 7.2.1 中已发现并修补了一个重大安全漏洞,影响了超过 100 万个网站。该漏洞的严重程度为 8.1 级(满分 10 级),可能允许未经身份验证的攻击者访问敏感信息,包括站点备份中包含的数据。 未经身份验证的攻击漏洞 该漏洞之所以受到高度关注,是因为黑客不需要登录凭据即可发起攻击,这就是术语“未经身份验证”的含义。 在 W…
1月18
-
高级自定义字段 ACF 6.2.4 插件漏洞影响多达 200 万多个网站
12:00 作者:倡萌安装量超过 200 万次的高级自定义字段 (ACF) WordPress 插件宣布发布安全更新版本 6.2.5,该更新修复了一个漏洞,该漏洞的严重程度尚不清楚,仅发布了有关该漏洞的有限详细信息。 虽然尚不清楚可能发生何种类型的攻击或攻击者可能造成的损害程度,但 ACF 确实建议该漏洞需要贡献者级别或更高级别的访问权限,这在一定程度上使发起攻击变得更加困难。 ACF 6.2.5 可能会引入重大变化 …
11月15
11月04
-
WordPress 主题手册更新了有关块模板的章节
10:31 作者:倡萌WordPress 贡献者更新了主题手册,添加了有关块模板的新章节。本章介绍了 WordPress 块模板系统的工作原理、如何构建自定义模板和部件并将它们包含在主题中。这是重要的文档,旨在为构建第一个块主题的人员提供学习路径。 Automattic 赞助的开发者倡导者 Justin Tadlock 在 Twitter 上宣布了这一更新,并指出它还在“全局设置和样式”一章中包含了几个新文档,用于在t…
11月03
11月02
-
Wordfence CLI 2.0.1 新增免费漏洞扫描
10:36 作者:倡萌Wordfence CLI 2.0.1本周推出了免费漏洞扫描。新的CLI 产品于两个月前在 WordCamp US 上推出,具有恶意软件检测功能,但最新更新引入了最受欢迎的功能 - 大规模漏洞扫描。 Wordfence 以其 Web 应用程序防火墙、恶意软件扫描程序和登录安全产品而闻名,该产品被打包为免费插件并安装在超过 400 万个网站上。CLI 是首款适用于 WordPress 服务器的命令行…
-
Google 推出新的 .ing 顶级域名
10:32 作者:倡萌谷歌宣布推出新的 . ING 顶级域名,允许用户注册表示以 ing 后缀结尾的动词、名词和形容词的域名。 ING 顶级域名 (TLD) 顶级域名 (TLD) 是域名的最后部分,例如 .com、.org 等。 Google 推出的最新版本是 .ing,它允许发布商注册一个针对动作、人物、地点、事物甚至以 ing 结尾的形容词的域名。 许多品牌已经开始注册 .ing 域名: Adapt服装品牌注册ad…
11月01
-
谷歌完成向移动优先索引的转变
10:24 作者:倡萌经过多年的过渡,谷歌正式完成向移动优先索引的转变。 移动优先索引意味着谷歌现在在抓取和索引时优先考虑网站的移动版本。 这一变化反映出谷歌近年来对移动用户的日益关注。 转换完成后,Google 将减少桌面抓取以节省资源。 搜索引擎巨头谷歌周二宣布,经过多年的努力,谷歌已完全过渡到移动优先索引。这意味着谷歌在抓取页面和索引内容时会优先考虑移动版本。 这一转变反映出谷歌自 2015 年开始更加关注移动设…
10月31
-
WooCommerce 品牌更名为 Woo
21:28 作者:倡萌WooCommerce 正在将品牌重新命名 为“Woo”,这是一个更短、更有趣的公司名称版本,许多客户已经在使用。 Automattic于 2015 年收购了 WooCommerce 以及 WooThemes。该开源商务平台目前为超过 440 万个实时网站提供支持,其中包括排名前 100 万的在线商店中的 33%。 品牌重塑延伸到 Woo Marketplace、WooExperts 计划以及 W…
10月28
-
HubSpot 和 TikTok 宣布建立 CRM 合作伙伴关系以开发 B2B 潜在客户
10:46 作者:倡萌HubSpot 和 TikTok 宣布了一项独特的整合,以简化 B2B 潜在客户开发,此举可能会重新定义 B2B 潜在客户开发。 这一合作伙伴关系可帮助企业将 TikTok 的潜在客户捕获到 HubSpot 的 CRM(客户关系管理)平台中。 新机遇中客户获取成本不断上升 鉴于中小型企业 (SMB) 面临着不断上升的客户获取成本,这种合作伙伴关系是及时的。 HubSpot 的研究表明,从 2021…
10月25
-
Automattic 收购了一款一体化消息传递应用程序 Texts
16:33 作者:倡萌Automattic 以 5000 万美元收购了一体化消息平台Texts 。Texts 是一家成立于 2020 年的新公司,为所有主要消息平台创建集中收件箱,包括 iMessage、WhatsApp、Instagram、Telegram、Signal、Twitter、LinkedIn、Slack 和 Discord。 消息应用程序和收件箱的激增使得响应通信比前几年更加复杂。大多数公司更愿意将用户保…
10月24
-
LiteSpeed Cache 5.7 修补 XSS 漏洞
09:56 作者:倡萌LiteSpeed Cache 插件在超过 400 万个 WordPress 网站上使用,已在 5.7 版本中修复了 XSS 漏洞。该插件提供一体化站点加速功能、服务器级缓存和一系列优化功能。它与 WordPress 多站点以及 WooCommerce、bbPress 和 Yoast SEO 等流行插件兼容,这可能有助于其流行。 Wordfence 安全研究员 István Márton 发现了该…
10月19
-
Kinsta 推出免费静态网站托管,可托管多达 100 个网站,包括 WordPress
10:59 作者:倡萌Kinsta 最近推出了静态网站托管产品,以免费套餐强势进入市场,该产品与 Vercel、Netlify 和 GitHub Pages 的成熟解决方案具有竞争力。公司可以免费托管多达 100 个静态站点,包括 Kinsta 从其 300 多个地点的全球边缘网络部署的静态 WordPress 站点。 静态网站是指提供 HTML 页面、媒体以及 JavaScript 和 CSS 等资源的网站。这些通常…原文连接