WP File Manager 6.0-6.8版有RCE漏洞,駭客可以根據該WP外掛,直接取得管理員權限,上傳惡意文件到網站上。
最近已有多家WordPress網站因為安裝了該外掛導致被駭客攻擊,雖然WP File Manager 開發團隊已釋出修補漏洞的6.9版本,但是這類型的外掛本來就具有風險,因為它能讓攻擊者修改或上傳任何檔案到WordPress管理員介面,可能引發嚴重事件,像是攻擊者可利用外洩的密碼存取管理帳號,修改外掛程式,上傳webshell程式,進而對伺服器執行列舉分析(enumeration),或是以其他攻擊程式來擴大損害。
因此建議,盡量不要使用該類型的外掛工具,若需要類似 File Manager 這種上傳檔案功能的工具,可以使用FileZilla軟體,該軟體一樣具備上傳下載文件功能,相較於直接在WordPress上面安裝外掛,另外在電腦上安裝軟體管理文件較安全。
