WordPress 傳重大漏洞：網站可能輕易被接管，影響全球超過5000萬個網站！

芬蘭資安業者Klikki Oy發現知名的免費架站平台 WordPress 3 版本含有重大安全漏洞，駭客可以利用跨站指令碼（Cross-site scripting, XSS）攻擊接管網站管理員的權限，進而在網站上注入各種惡意程式。根據 WordPress 今年11月的估計，目前3.x版使用率約占WordPress的 85.6%，因此全球可能超過5000萬個WordPress網站受到該漏洞影響，建議使用者立即更新到最新版的 WordPress 版本。

發現這個漏洞的 Klikki Oy 研究人員 Jouko Pynnonen 表示，該漏洞允許駭客在特定的文字欄位中注入程式碼，通常是 WordPress 網站上文章或網頁的評論（迴響，或回應）區域，WordPress 上的預設值為任何人都可以評論或回應，而且不需登入或驗證。

駭客能夠在回應中注入夾雜程式碼的內容，當目標對象透過管理員儀表板讀取該評論時，就會觸發惡意程式以接管管理員的帳號，之後便能執行各種管理員權限，包括更改管理員密碼、建立新的管理員帳號，甚至在伺服器上執行攻擊程式。

Klikki Oy已開發出概念性攻擊程式，指出此一漏洞讓駭客不需登入就能嵌人惡意程式，同時還能造成伺服器傷害，這也是WordPress自2009年以來最嚴重的漏洞。

WordPress是在2010年6月釋出WordPress 3.0版本，4.0則於今年的9月發表，顯示該漏洞已存在4年，影響3.0～3.9.2。不過，此一漏洞並未波及最新的4.0版。

可說是一點都不令人意外！ WordPress根本就是一套爛部落格！所以問題一大堆！