wordpress目前互联网的市场占有率较高,许多站长以及建站公司都在使用这套开源的博客建站系统来设计网站,wordpress的优化以及html静态化,深受google以及搜索引擎的喜欢,全世界大约有着百分之28的网站都在使用这套系统,国外,外贸网站,个人博客使用的最多。
我们SINE安全在对其wordpress网站进行详细的安全检测以及网站漏洞检测,发现wordpress存在着高危的网站安全漏洞,在wordpress4.9版本一下存在着管理员密码找回漏洞,可以在找回密码的过程中窃取用的密码资料,可以先人一步对其找回的密码进行设置。
WordPress漏洞详情
在该系统代码里我们发现wp_mail这个函数具体的作用是用来发送邮件,用户找回密码首先会发送邮件过去,确认账号的所有者,然后再进行重新设置密码,但是在这个找回密码发送邮件的过程中,我们发现,代码里的发送服务器