120 万个 WordPress 网站发生数据泄漏

WordPress远不止是博客，它为超过42%的网站提供动力。因此，只要WordPress发生了安全事件，就是一件大事。

但现在，作为全球顶级网络托管公司的GoDaddy公司报告说，超过120万WordPress客户的数据已被曝光，且数据暴露已有数月。

在证券交易委员会（SEC）的文件中，GoDaddy的首席信息安全官（CISO）Demetrius Comes表示，他们已经发现了对其管理的WordPress服务器的未授权访问。确切地说，自2021年9月6日以来，该漏洞打开了120万活跃和不活跃的WordPress管理的客户信息。

据WordPress称，这种管理服务是为建立和管理WordPress网站而提供的精简、优化的主机。GoDaddy处理基本的主机管理任务，如安装WordPress、每日自动备份、WordPress核心更新和服务器级缓存，管理费用起价为每月6.99美元。

客户的电子邮件地址和客户号码都被曝光。因此，GoDaddy警告用户，这种暴露会使用户面临更大的网络钓鱼攻击的风险。同时该公司还表示，最初安装WordPress时创建的WordPress管理密码也已被曝光。因此，如果你从来没有改变过这个密码，黑客已经有几个月可以进入你的网站了。

此外，活跃客户的sFTP和数据库用户名和密码也被曝光。GoDaddy已经重置了这两个密码。最后，一些活跃客户的安全套接字层（SSL）私人密钥被暴露。GoDaddy目前正在为这些客户重新发放和安装新的证书。

WordPress安全公司WordFence 在他们的报告中说："看来GoDaddy是以明文或可逆为明文的格式来存储sFTP凭证的，而不是使用哈希或者公钥，这使得攻击者可以直接访问密码凭证，而不需要破解它们。而哈希、公钥被认为是sFTP的行业最佳做法。”

GoDaddy宣布，目前正在进行调查，并正在与所有受影响的客户直接联系，提供具体细节。客户还可以通过其帮助中心联系GoDaddy。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。

0 条评论