WordPress 两步认证登录插件爆安全漏洞

最新推荐文章于 2023-11-13 18:26:43 发布
最新推荐文章于 2023-11-13 18:26:43 发布
阅读量583 收藏
点赞数
文章标签: php 系统安全
原文链接:https://yq.aliyun.com/articles/113460
版权

screenshot

2013年以来,随着网站数据泄露事故的频发,越来越多的网站开始提供两步认证(双因子认证)技术提高用户账户的安全强度,而全球最大的博客平台WordPress也通过类似duo_wordpress的第三方插件实现两步认证。

近日,duo_wordpress的开发商,企业级移动安全Duo Security透露该插件存在安全漏洞,用户在登录同一站点群的一个网站跳转到另外一个网站时可以绕过两步认证。

当管理员采用单一后台管理多个网站,而每个网站分别部署duo_wordpress插件时,才会遭遇以上的安全问题。如果在单一后台统一在多个网站部署duo_wordpress,则不会遇到这个麻烦。

据Duo Security透露,该公司的WordPress两步认证插件存在的这个安全漏洞还会影响第三方两步认证厂商的插件,建议所有部署两步认证的WordPress管理员都应当检查系统安全问题。

Duo Security在官网的用户建议给出了如下的情形:

一个多站WordPress平台包含两个站点,站点1和站点2,其中站点1启用了Duo WordPress插件而站点2没有,当用户登录站点1时会要求进行两步认证,登录站点2时只需输入普通的账户密码,但是当站点1的用户首先登录站点2的 登录页面,会获得认证并被重定向到站点1,也就是说绕过两步认证自动获得站点1的认证。

Duo Security给出的解决办法是打开全局范围的两步认证,然后为个别站点关闭两步认证,而不是先关闭全局认证然后为个别站点单独部署两步认证。

文章来自IT经理网

文章转载自 开源中国社区 [http://www.oschina.net]

weixin_34208185
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
( CVE-2018-15877 ) WordPress 远程命令执行漏洞复现
weixin_45253622的博客
03-05 626
WordPress 远程命令执行漏洞(CVE-2018-15877)复现 靶场环境传送门 打开靶场 找到登录界面 弱口令进入发现 用户名为admin,进行破 密码为123qwe 登录后台发现 该漏洞为Activity Monitor件远程命令执行漏洞,所以我们登录后台,找到activity monitor,选择tools,输入127.0.0.1|ls /,查看文件。发现key.txt 返回页面,输入127.0.0.1|cat /key.txt,发现长度不够,按F12修改最大长度为150。
wordpress安全_通过两步身份验证提高WordPress安全
culin0274的博客
08-10 850
wordpress安全Before the Major Brute-Force Attack Occurred on WordPress Sites, WordPress announced its “Two Step Authentication” process to improve the WordPress security. 在WordPress网站上发生重大蛮力攻击之前,WordPr...
wordpress 查看未经身份验证的文章(cve-2019-17671未授权访问)漏洞复现
Ping_Pig的博客
11-04 746
漏洞产生原因: 该漏洞由于程序没有正确处理静态查询,攻击者可利用该漏洞未经认证查看部分内容 影响版本:<=5.2.3 漏洞复现过程: 登录后台创建一个新的页面: 点击发布 然后可以在所有页面的地方看到创建完毕: 创建成功后在页面列表处会有状态显示,没有状态的默认为公开 将页面设置为私有: 点击页面编辑 选择状态: 然后我们退出后台模仿正...
wordpress 注入恶意代码漏洞利用与修复方案
网站安全资讯
09-16 1015
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
Google两步验证安装使用方法
macleo的路
07-28 278
Google两步验证安装使用方法 [url]http://www.williamlong.info/archives/2754.html[/url]
WordPress微信一键关注免认证登录
01-20
WordPress微信一键关注免认证登录
WordPress微信关注登录件-免认证-一键登录-适用于个人用户
最新发布
05-22
无需服务号认证WordPress微信登录件,助力个人用户轻松实现一键关注登录。 首先,首先需要去公众号里配置一下,进公众号,开发 – 基本配置,配置IP白名单以及开启服务器配置, 服务器地址、令牌(自行设置,...
WordPress认证微信关注登陆件.rar
05-04
Wordpress认证微信关注登陆件,个人用户无需申请服务号以及认证,支持未认证的订阅号实现关注公众号一键登录网站! 首先需要去公众号里配置一下,进公众号,开发 – 基本配置,配置IP白名单以及开启服务器配置...
ErphpWeixinScan 关注微信公众号一键登录网站的WordPress
02-01
ErphpWeixinScan 关注微信公众号一键登录网站的WordPress件 由于未认证的公众号接口权限有限没法获取用户昵称、头像信息(如果你的公众号已经认证,可以自动获取昵称、头像),且需要手动输入验证码(如果是认证的...
WordPress子比实名认证原创
m0_60509201的博客
11-13 300
新增 个人认证用户中心添加认证标识。新增 企业认证用户中心添加认证标识。新增 个人认证用户中心设置。新增 企业认证用户中心设置。新增 个人认证3个接口.新增 个人认证独立后台。新增 企业认证独立后台。新增 个人认证独立页面。新增 个人认证企业页面。新增 企业认证1个接口。新增 个人认证用户权限。新增 企业认证用户权限。
wordpress4.9漏洞
小小猪的博客
12-01 8093
漏洞介绍: WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量。它是一个开源的系统,其次它的功能也十分强大。也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷。这种广泛的采用使其成为网络犯罪分子的一个有趣目标。这次实验的漏洞是在WordPress核心中的一个经过身份验证的任意文件删除漏洞CVE-2018-20714 该漏洞可能导致攻击者执行任意代码。该漏洞自发现到报告给W
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
最新WordPress漏洞,黑客可轻松控制您的网站
weixin_30343157的博客
06-28 1430
  近日,我们收到了关于WordPress核心中一个未修补漏洞的提示,该漏洞可能允许低特权用户劫持整个网站并在服务器上执行任意代码,这个最新WordPress漏洞,黑客可轻松控制您的网站。由研究人员发现,7个月前向WordPress安全团队报告了“已认证的任意文件删除”漏洞,但仍未修复,并影响到所有版本的WordPress,包括当前的4.9.6。该漏洞存在于用户永久删除上传图像的缩略图时在后台运行...
wordpress 漏洞_轻松发现WordPress漏洞
culi4814的博客
08-24 1万+
wordpress 漏洞As a developer or design professional, one of the biggest benefits of building your sites on WordPress is that in most cases you are building your code on a proven platform which has been ...
多站点整合—单点登录简单方案
遨游的专栏
07-17 850
 多站点整合—单点登录简单方案[ 2008-01-02 15:06 | 作者: Kiven ] 字体: 大 | 中 | 小 问题描述:在一个比较复杂的网站环境下。有多个产品向外提供服务。每个产品下都有自己的用户登录界面。现在需要设计一个统一的登录界面。当用户在这个界面登录后就可以自由的使用各个产品和服务。同时意味着用户用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登
ubuntu root默认密码(初始密码)
weixin_33895016的博客
04-04 942
ubuntu安装好后,root初始密码(默认密码)不知道,需要设置。 1、先用安装时候的用户登录进入系统 2、输入:sudo passwd  按回车 3、输入新密码,重复输入密码,最后提示passwd:password updated sucessfully 此时已完成root密码的设置 4、输入:su root 切换用户到root试试.......  ...
修复黑客利用Freemius类绕过过身份验证的选项(漏洞-wordpress)
jimbooks的博客
08-01 974
如果浏览不顺畅请到原文章出处:https://www.sky8g.com/technology/2947/ 请注意可能会提示风险,这是csdn官网如果不是他们的网址,其他的网址都会提示有风险,这是CSDN网站设置的问题,本网站全部文章为免费技术分享,请放心访问,无需担心。 原文章出处:https://www.sky8g.com/technology/2947/ 此篇文章是由SKY8G网作者原...
WordPress 远程命令执行漏洞(CVE-2018-15877)复现 -墨者学院
小白鸽
07-31 1931
01 背景介绍 近日,WordPress 件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行。 02 影响范围 Plainview Activity Monitor plugin version <= 20161228 03 利用方式 默认后台 wp-login.php Activity
13款WordPress用户注册登录
jinyeweiyang的专栏
09-28 3665
一般WordPress用户不需要用到注册登录件,因为并不开放注册。但对于开放注册的WordPress多用户博客来说,使用一些件扩展你的注册登录功能,使其更易于用户或集成于主题中,更加美观,还是不错的。请看13款WordPress用户注册登录件。 Theme My Login 这个件可以把WordPress的注册、登录和用户个人信息页面集成到你的主题中。还支持在后台自定义登录
wordpress认证微信关注登陆
01-15
wordpress认证微信关注...总的来说,wordpress认证微信关注登陆件是一种方便、快捷、安全、稳定的登录和关注解决方案,可以给用户带来更好的体验,也有利于网站和公众号的互通互联,是一种值得推广和应用的件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值