作为全球使用最广泛的内容管理系统(CMS),WordPress 的任何风吹草动都关乎着数以亿计的网站安全。2026年7月初,网络安全公司 Searchlight Cyber 的首席安全研究员亚当·库斯(Adam Kues)正式公布了一项极为严重的零日漏洞警报。他在 WordPress 核心代码中发现了一个被称为“wp2shell”的预身份验证远程代码执行(RCE)漏洞,这意味着全球数亿个基于原生 WordPress 搭建的网站直接暴露在了黑客的炮火之下。
该漏洞的破坏力之大,在于其攻击门槛极低。根据wp2shell 漏洞官方安全通告显示,攻击者在发起入侵时,不需要目标网站安装任何特定的第三方插件,也不需要拥有任何合规的用户账号。利用该漏洞,匿名攻击者可以直接绕过前端防护,直接在托管 WordPress 的服务器上执行任意代码,进而实现植入木马、篡改网页内容或窃取数据库敏感信息的目的。
受影响版本广泛,涉及全球近四成网站架构
此次曝光的 wp2shell 漏洞覆盖了多个主流的 WordPress 核心版本。具体而言,受影响的分支包括 6.9.0 至 6.9.4 版本,以及最新的 7.0.0 至 7.0.1 版本。由于许多中小型网站缺乏自动更新机制,安全团队预估全球有超过 5 亿个活跃网站正处于该漏洞的直接威胁之下。
为了防止黑客利用该漏洞发起大规模的自动化扫网攻击,研究人员与 WordPress 安全团队目前达成了负责任的披露共识,暂时隐去了导致该 RCE 漏洞的具体 PoC(概念验证)攻击载荷和底层代码逻辑。然而,黑产团队通常会在极短时间内通过固件对比和二进制逆向来还原漏洞细节,因此防守空窗期显得极其短暂。目前,WordPress 官方已紧急推送了修复后的 6.9.5 和 7.0.2 版本,彻底堵塞了相关的漏洞路径。
防范策略出炉:升级核心或通过WAF拦截批量API
针对这一爆发性危机,安全专家给出了明确的应对路线。对于所有正在运行受影响版本的 WordPress 管理员来说,首要任务是立即将核心程序升级至最新的安全版本(6.9.5 或 7.0.2)。
如果因为主题兼容性或企业业务系统耦合导致无法立刻进行大版本升级,管理员也必须在网络边界筑起防线。由于该漏洞主要通过 WordPress 内置的批量处理端点进行渗透,安全团队建议管理员应立即安装 Disable WP REST API 等安全插件来完全禁用未授权的 REST API 访问。此外,在企业级防御层面,网站管理员可在 Web 应用防火墙(WAF)中部署自定义过滤规则,强制拦截所有针对特定“/batch/v1”路由的外部非受信 POST 请求,或者直接向服务器部署官方发布的过渡期代码段,以最大程度地降低在修补前被黑客“脱裤”或挂马的风险。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️
圈小蛙