犯罪分子瞄準WordPressRESTAPI漏洞進行網路黑產活動

向所有使用者（包括沒有許可權的使用者）顯示分配分類術語（assigning taxonomy terms）使用者介面；
WP_Query 容易受到 SQL 注入攻擊，已強化外掛和主題在這方面的漏洞；
文章列表中存在跨站指令碼（XSS）漏洞；
REST API 端點存在未經身份驗證的許可權提升漏洞。

其中REST API 端點的許可權提升漏洞，允許未經過身份驗證的訪問（通過 API）檢視、編輯、刪除和建立文章及頁面，危害極大。不可避免地，網路犯罪分子也瞄準了這一“風口”，嘗試攻擊未使用4.7.2修復REST API漏洞的WordPress站點獲利。

雖然已經有超過100萬網站被篡改，但是研究人員現在發現一些破壞行為會留下一個連線流氓醫藥網站的連結，試圖欺騙使用者購買藥物或通過網路釣魚的方式誘騙獲取他們的信用卡資訊。

攻擊者試圖利用執行在WordPress平臺上的網站，而這些網站均沒有更新到安全版本。SiteLock的研究人員預計，大約有20名非法攻擊者參與到此次“利潤瓜分的活動中”，有些人多次篡改網站，有時候會刪除其他犯罪分子留下的連結和釣魚資訊，然後換上自己的連結和資訊。 

SiteLock公司的Logan Kipp表示，執行這些活動是非常容易的，成本也很低。我們發現差不多有20個不同的攻擊者在不斷爭奪其控制和覆蓋的範圍。

篡改網站一開始主要是黑客之間進行吹噓越軌的行為，但是很快地開始演變成“利益驅動”的攻擊行為。

Kipp稱，

當犯罪分子試圖讓使用者訪問流氓藥店網站，進而獲取使用者信用卡資訊的時候，我才第一次意識到有人在利用漏洞進行金錢收益。

REST API漏洞是由國外Web安全公司Sucuri發現並披露的，它提供了一組易於使用的HTTP端點，可以使使用者以簡單的JSON格式訪問網站的資料，包括使用者，帖子，分類等。檢索或更新資料與傳送HTTP請求一樣簡單。

Sucuri表示，自從該漏洞細節公開後，攻擊範圍不斷擴大，最近每天趨於3000次。

 【利用REST API漏洞嘗試次數】（來源：Sucuri）

去年12月份，研究人員在WordPress 4.7中發現REST API端點漏洞，並在本月早些時候得到修補。因為WordPress預設開啟自動更新工具包程式，所以大多數已經安裝了安全更新。仍存的部分未修復網站依然處於威脅之中，SiteLock估計，脆弱網站大約佔據所有WordPress網站的15%—20%左右。

根據Sucuri早前釋出的報告顯示，Wordpress REST API漏洞造成至少超過67000個網站被攻擊，而發起攻擊的主要來自以下4個團隊：

Kipp表示，該漏洞會在較短的時間內得到修復，對大多數已經進行安全更新的使用者並無影響，並建議所有使用WordPress的網站主及時更新至最新版本v4.7.2。避免由於REST API的安全問題，導致網站被搜尋引擎遮蔽。