20万网站陷漏洞风险！WordPress第三方用户登录插件曝零日

7月4日消息，WordPress博客平台中备受欢迎的用户登录系统插件"Ultimate Member"近日被安全公司Wordfence披露存在一个零日漏洞。该漏洞被标记为CVE-2023-3460，风险评分高达9.8，黑客可以利用该漏洞绕过插件内置的安全措施，将自己的账号提升为管理员角色，并完全控制受害网站。

据了解，Ultimate Member插件的开发者已于6月26日发布了2.6.3版本，对该漏洞进行了部分修复。随后，在7月1日，他们发布了2.6.7版本，该版本完全修复了该漏洞。然而，考虑到该插件在超过20万个WordPress网站上的部署，并且由于信息传递不畅造成的插件更新滞后，这些网站仍然面临着遭受黑客攻击的极高风险。

针对使用Ultimate Member插件的网站管理员，我们强烈建议您立即升级到最新版本，以确保您的网站安全。此外，还应密切关注其他安全措施，例如定期备份网站数据、采用强密码策略以及安装防火墙和恶意软件扫描程序等插件。

对于那些尚未升级插件或由于信息滞后而不知道漏洞的网站管理员来说，他们的网站面临着严重的黑客攻击威胁。因此，我们鼓励他们尽快采取行动，升级插件并加强其他安全措施。此外，网站管理员还可以通过发布安全公告、发送电子邮件通知或在社交媒体上提醒用户尽快升级插件，以保护他们的账号安全。