文章來源:
Critical Security Flaw Found in LiteSpeed Cache Plugin for WordPress,Sep/06/2024.Ravie Lakshmanan
⚾️ 新聞概述
資安研究人員近期發現 WordPress 熱門外掛 LiteSpeed Cache 存在一個嚴重的安全漏洞。此漏洞可能允許「未經授權」的使用者接管任意帳號,進而對網站安全構成重大威脅。
這個安全漏洞的根源於一個公開的除錯記錄檔(位於「/wp-content/debug.log」)。未經授權的攻擊者可能透過此檔案獲取敏感資訊,其中包括使用者的 cookie 資料,進而以有效的登入狀態進入易受攻擊的網站。
目前開發團隊已透過將記錄檔移至專用資料夾
並隨機化檔名
的方式解決,並已在 6.5.0.1 版本 中修復。
這個漏洞只有在網站啟用除錯功能時才會生效,而該功能預設是關閉的
◼️ 文章啟示
此事件再次強調了在進行除錯過程中需要確保安全性的重要性,如:
▪️ 建議措施:
.htaccess
規則 => 禁止直接訪問記錄檔◼️ 名詞學習