──────────────────────────────
## 近年十大 WordPress 入侵事故懶人包
以下列出 2024–2025 年間,最具代表性的 WordPress 安全事件:
1. **Alone 主題 RCE 零時差攻擊(CVE-2025-5394)**
攻擊者利用 Alone 主題中插件安裝機制的缺失,實現任意檔案上傳與遠端代碼執行,從而完全掌控網站。漏洞於 2025 年 6 月 16 日發布修補版本 7.8.5,但攻擊始於 7 月 12 日,甚至早於公開揭露,之後已有超過 120,000 次阻擋嘗試。:contentReference[oaicite:0]{index=0}
2. **Post SMTP 插件 REST API 權限錯誤(CVE-2025-24000)**
利用 REST API 權限不足,低權限用戶能讀取郵件內容與重設管理者帳號,估計有約 160,000 個網站仍未更新,極易被入侵。:contentReference[oaicite:1]{index=1}
3. **Gravity Forms 供應鏈攻擊**
攻擊者短暫植入惡意安裝檔(2.9.11.1/2.9.12 版本),可進行遠端代碼執行與創建後門帳號。影響主要為從官網手動下載或使用 Composer 安裝的用戶。:contentReference[oaicite:2]{index=2}
4. **JavaScript 後門感染事件**
超過千個 WordPress 網站遭植入第三方 JavaScript,包含四條獨立後門(如上傳假 SEO 插件、修改 wp-config.php、SSH key 植入、逆向 shell 等),攻擊者可任意存取與登入。:contentReference[oaicite:3]{index=3}
5. **Forminator 插件任意刪除漏洞**
在 2025 年 7 月揭露此漏洞後,攻擊者可任意刪除網站檔案,可能引發網站失效或被完全接管。:contentReference[oaicite:4]{index=4}
6. **SureForms 插件重大檔案刪除漏洞**
同樣於 2025 年 7 月公開,影響超過 200,000 個使用者,攻擊者可藉此漏洞遠端刪除網站重要檔案,造成網站癱瘓。:contentReference[oaicite:5]{index=5}
7. **Automatic Plugin – AI 插件 Arbitrary SQL Exec(CVE-2024-27956)**
具有超過 40,000 安裝量的插件,漏洞使得未驗證者能執行任意 SQL 查詢,危及資料庫安全。:contentReference[oaicite:6]{index=6}
8. **Startklar Elementor Addons 插件檔案上傳漏洞(CVE-2024-4345)**
攻擊者可藉由未驗證請求上傳惡意檔案,進而掌控網站伺服端。:contentReference[oaicite:7]{index=7}
9. **Bricks 主題 RCE 漏洞(CVE-2024-25600)**
未經驗證使用者可執行任意 PHP 代碼,導致網站接管。這個漏洞已造成大約 30,000 次攻擊嘗試。:contentReference[oaicite:8]{index=8}
10. **Efimer 惡意軟體經由 WordPress 網站散布**
Efimer 透過感染 WordPress 網站,注入強力破解 WordPress 管理密碼的功能,藉此竊取加密貨幣。:contentReference[oaicite:9]{index=9}
---
## 問題原因總結
- **第三方套件安全依賴高**:漏洞多來自主題與插件,包括任意檔案上傳、權限錯誤、SQL 注入等。
- **更新延遲或忽略**:網站管理者未即時更新套件或使用過時版本,增加被攻擊風險。
- **供應鏈安全薄弱**:如 Gravity Forms 事件,攻擊者能在下載流程中植入惡意。
- **缺乏主動防禦與監控**:未部署防火牆、虛擬補丁或日誌監控,導致入侵後無法即時發現。
- **密碼與認證管理不足**:如 Efimer 利用弱密碼或暴力破解進行入侵。
---
## 我們的解決方案:**自家研發、無此困擾**
本公司採用 **完全自家研發的網頁設計系統**,架構透明、安全性高,不依賴 WordPress 及其繁多外部套件,因此:
- **不存在上述主題/插件安全漏洞問題**;
- 控制完整、可內建嚴格權限機制、更新流程與防火牆監控;
- 無供應鏈風險,所有資源皆由本公司直接管理與驗證;
- 提供更安全、更可靠的網站解決方案。
台中市西屯區國安一路127號22樓之5
灣仔告士打道151號資本中心11樓1102
