0229資安通報:WordPress網站外掛程式漏洞
2024-02-29
:資訊媒體組近期有情報指出 ,駭客將計就計利用WordPress網站外掛程式漏洞的攻擊行動頻傳,謊稱網站存在特定CVE編號的漏洞,並引導不知情的管理者安裝包裝成「修補外掛」的後門程式,北區ASOC提醒您,目前尚不清楚該惡意外掛的目的,但資安專家認為可能用來在受害網站中注入惡意廣告版位、將訪客導向至其他網站、控制伺服器、竊取帳務資訊,或是進行勒贖攻擊等。
建議 WordPress 使用者在接獲類似信件時,勿輕信其內容,更不要點按可疑連結並下載安裝任何外掛。
建議措施:
- 教育訓練: 提供員工釣魚郵件和社交工程的辨識培訓,強調不點擊懷疑郵件附件或連結,並警覺不明來信。
- 郵件過濾器: 郵件過濾器可以檢測並擋下大部分的釣魚郵件。使用先進的威脅檢測技術。
- 懷疑驗證: 在收到看似不尋常的郵件時,驗證寄件者的身份,可以通過其他通訊方式(電話、即時通訊)進行。
- 定期演練: 舉辦模擬的釣魚郵件和社交工程攻擊演練,提高員工對這類風險的警覺性。
相關連結:詳細說明
