一场无声的WordPress漏洞可能成为下一个重大加密货币攻击

一款热门WordPress插件存在严重漏洞，可能使黑客劫持面向用户的加密货币网站。该漏洞为恶意攻击者创造了注入钓鱼页面、伪造钱包链接和恶意跳转的机会。

虽然该漏洞不会影响钱包后端或代币合约，但会危及用户与加密服务安全交互所依赖的前端基础设施。尽管该插件已发布补丁，仍有数万站点使用未更新的旧版本处于无保护状态。

WordPress插件的诈骗潜力

当前加密货币犯罪激增，许多意想不到的渠道都可能催生新型骗局。数字安全公司Patchstack最新报告揭示，WordPress平台存在可能引发新型加密诈骗的攻击载体。

报告指出："安装量超40万的邮件投递插件Post SMTP，其3.2.0及以下版本的REST API接口存在多项访问控制缺陷...允许任何注册用户（包括本应无任何权限的订阅者）执行多种操作。"

这些操作包括：查看邮件统计、重发邮件，以及查阅含完整邮件内容的详细日志。

攻击者可利用此漏洞拦截密码重置邮件，进而控制管理员账户。

加密货币领域的多重风险

该漏洞如何引发加密诈骗？可能性几乎无法穷尽。伪造的客服邮件已是钓鱼攻击的常用手段，仅邮件控制权就足够危险。

被入侵的WordPress站点可通过恶意脚本在外链中植入虚假代币和诈骗网站，或设置恶意跳转。

黑客可收集密码并在多家交易所尝试登陆，甚至能在用户访问特定页面时植入恶意软件。

数字钱包是否安全

多数加密钱包和代币平台的核心架构虽不依赖WordPress，但其官网、客服等用户端功能常基于此系统构建。

若缺乏专业工程团队的小型项目遭入侵，安全漏洞可能长期潜伏。被控的WordPress账户既可收集用户信息为后续诈骗做准备，也能直接将访客导向钓鱼页面。

防护建议

所幸Patchstack已紧急发布补丁。但超10%的Post SMTP用户（约4万个网站）仍未更新，构成重大安全隐患。

加密用户应保持警惕：勿轻信随机邮件链接，选择可信项目，使用硬件钱包等。主要责任在于网站运营方——若加密项目未及时安装补丁，黑客将获得实施多重诈骗的操作平台。简言之，只要对非主流项目保持审慎，加密资产仍可确保安全。