120 万个 WordPress 网站发生数据泄漏

WordPress远不止是博客,它为超过42%的网站提供动力。因此,只要WordPress发生了安全事件,就是一件大事。

但现在,作为全球顶级网络托管公司的GoDaddy公司报告说,超过120万WordPress客户的数据已被曝光,且数据暴露已有数月。

证券交易委员会(SEC)的文件中,GoDaddy的首席信息安全官(CISO)Demetrius Comes表示,他们已经发现了对其管理的WordPress服务器的未授权访问。确切地说,自2021年9月6日以来,该漏洞打开了120万活跃和不活跃的WordPress管理的客户信息。

据WordPress称,这种管理服务是为建立和管理WordPress网站而提供的精简、优化的主机。GoDaddy处理基本的主机管理任务,如安装WordPress、每日自动备份、WordPress核心更新和服务器级缓存,管理费用起价为每月6.99美元。

客户的电子邮件地址和客户号码都被曝光。因此,GoDaddy警告用户,这种暴露会使用户面临更大的网络钓鱼攻击的风险。同时该公司还表示,最初安装WordPress时创建的WordPress管理密码也已被曝光。因此,如果你从来没有改变过这个密码,黑客已经有几个月可以进入你的网站了。

此外,活跃客户的sFTP和数据库用户名和密码也被曝光。GoDaddy已经重置了这两个密码。最后,一些活跃客户的安全套接字层(SSL)私人密钥被暴露。GoDaddy目前正在为这些客户重新发放和安装新的证书。

WordPress安全公司WordFence 在他们的报告中说:"看来GoDaddy是以明文或可逆为明文的格式来存储sFTP凭证的,而不是使用哈希或者公钥,这使得攻击者可以直接访问密码凭证,而不需要破解它们。而哈希、公钥被认为是sFTP的行业最佳做法。”

GoDaddy宣布,目前正在进行调查,并正在与所有受影响的客户直接联系,提供具体细节。客户还可以通过其帮助中心联系GoDaddy。

评论