安全圈最近发现,WordPress的会员插件出了大问题,黑客能轻松创建管理员账号。具体是“User Registration & Membership”插件被盯上了,这玩意儿在6万个网站上都在用呢。它是WPEverest搞出来的,主要是帮你管会员和注册的,还能连PayPal和Stripe收钱,甚至做数据分析。这次漏洞编号是CVE-2026-1492,分数直接飙到9.8分,高危级别的。 因为注册的时候能让用户自己指定角色,所以黑客根本不需要授权就能把管理员账号做出来。一旦当了管理员,网站里的插件、主题想装就装,PHP文件想改就改,安全配置随便动,连合法的管理员都能给锁死。拿到这个权限的人甚至能偷偷把数据库里的数据偷走,或者往网站里塞恶意代码去坑访客。 像Wordfence这种做安全的公司(Defiant),在过去24小时里都拦截了200多次攻击呢。这个漏洞只要是5.1.2版本以下的都中招,好在开发者发了5.1.3版本补上了。最好赶紧升级到5.1.4(上周刚发的),如果实在没办法升级,暂时把插件关了或者卸了也不错。Wordfence说这是今年这个插件出的最严重的毛病。 这帮黑客现在对WordPress的攻击没完没了,主要就是用来发毒、钓鱼、建后门当代理或者存偷来的数据。还有个叫Modular DS的插件也被搞了一下,漏洞号是CVE-2026-23550,只要远程操作就能直接绕过验证拿管理员权限。 (此处删去一句重复的话)