WP Ghost插件爆高危漏洞 超20万网站面临被黑风险

Meise

用WordPress建站的朋友注意了！最近网络安全圈曝出大新闻：超过20万网站正在使用的WP Ghost安全插件，居然藏着能让黑客远程操控网站的致命漏洞。安全团队发现，5.4.02版本之前的WP Ghost都存在安全隐患，现在赶紧检查你的网站后台！

网络安全公司Patchstack在3月22日发布报告指出，这个被编号为CVE-2025-26909的漏洞危险程度拉满，评分达到9.6/10的严重级别。问题出在插件的本地文件包含漏洞，黑客不需要任何登录权限，就能通过构造特定网址路径，直接读取服务器上的敏感文件。更可怕的是，这种漏洞在大多数服务器环境下都能演变成远程代码执行攻击，相当于把网站控制权拱手让人。

WP Ghost作为安装量超20万的明星防护工具，官方数据显示每月拦截14万次攻击、900万次暴力破解，宣称能防御SQL注入、跨站脚本等十几种网络攻击。但这次自家后院起火，反而成了安全隐患。好在开发商反应迅速，已在5.4.02版本更新中加入了严格的路径验证机制。

安全专家特别提醒："处理用户提交的文件路径时，必须设置白名单机制，就像小区门禁只允许登记过的访客进入。" 目前全球43%的网站使用WordPress系统，其庞大的插件库既是优势也是风险源。仅去年就有37个WordPress插件曝出重大漏洞，其中12个涉及远程代码执行。

建议所有网站管理员立即完成三件事：1. 检查WP Ghost是否为5.4.02版；2. 非必要不保留旧版插件；3. 定期审查所有插件的安全公告。记住，黑客最喜欢攻击那些"忘记更新"的网站。

（漏洞信息源：Patchstack安全公告 CVE-2025-26909）