WordPress是世界上最流行的內容管理系統(CMS)，有數百萬網站在使用。近來發布的WordPress 4.7.0默認添加并啟用了REST API。近日，來自Sucuri的研究人員發現WordPress存在重大零日漏洞，漏洞在于Wordpress REST API，該漏洞可導致產生新的漏洞，從而使攻擊者可針對未打補丁的網站刪除頁面或修改任何頁面，或將訪問者重定向到惡意利用或大量攻擊。

Sucuri跟蹤到了四個不同的篡改攻擊，第一個攻擊是在漏洞披露后不到48小時進行的。在其中的一個攻擊中，攻擊者將6萬個網頁的內容替換為了“Hacked by”消息，另外三個攻擊瞄準了大約500個網頁。

除網站篡改外，此類攻擊似乎主要是為黑帽SEO進行的，目的是傳播垃圾郵件和在搜索引擎中獲得排名，這也稱為搜索引擎中毒。

Sucuri的安全研究員將此漏洞私下披露給了WordPress，為了確保數百萬網站及其用戶的安全，WordPress推遲一周多才將該漏洞公之于眾，并立即采取行動安裝補丁。WordPress發布新版本后默認會自動更新，但有些管理員禁用了此功能，未能及時安裝補丁，才讓攻擊者有機可乘。在此催促管理員盡快將WordPress升級到4.7.2版。