目录
2026 年 6 月上旬,国家信息安全漏洞共享平台(cnvd)连续收录了三个 wordpress 插件的安全漏洞,涉及 跨站请求伪造(csrf)、跨站脚本(xss)以及访问控制缺陷。这三个插件分别是 auto making json-ld、animate your content、account manager for woocommerce。更令人担忧的是,截至目前,官方均未发布任何修复补丁。如果你的网站安装了这些插件,建议立即停用或采取临时防护措施。
一、 漏洞概览
| 插件名称 | 影响版本 | 漏洞类型 | cnvd 编号 | cve 编号 | 官方补丁 |
|---|---|---|---|---|---|
| auto making json-ld | ≤ 4.5.3 | 跨站请求伪造(csrf) | cnvd-2026-22802 | cve-2026-8938 | ❌ 无 |
| animate your content | ≤ 1.0.0 | 跨站脚本(xss) | cnvd-2026-22801 | cve-2026-8872 | ❌ 无 |
| account manager for woocommerce | ≤ 2.1.2 | 未明(访问控制缺陷) | cnvd-2026-22800 | cve-2022-41656 | ❌ 无 |
这三个插件均因“厂商尚未提供漏洞修复方案”而被 cnvd 收录,且验证信息均为“暂无”或“已验证”。这意味着使用这些插件的 wordpress 网站将长期暴露于风险之中。
二、 漏洞详解
2.1 auto making json-ld:csrf 导致 seo 数据被篡改
插件功能:自动生成网站的结构化数据(json-ld),用于优化搜索引擎展示(如面包屑、产品信息、评价等)。
漏洞原理:插件的设置页面缺少有效的 nonce(一次性令牌) 校验,攻击者可构造恶意请求,诱骗已登录的管理员点击,从而修改插件的配置。
危害:
- 篡改网站名称、描述、社交媒体链接,导致搜索引擎结果页显示错误信息。
- 注入恶意结构化数据,可能被搜索引擎判定为垃圾内容,导致网站降权。
- 结合 xss 可进一步实现后台劫持。
利用条件:需要诱导管理员点击恶意链接(社交工程)。
2.2 animate your content:xss 导致会话劫持
插件功能:为网页元素添加动画效果(如淡入淡出、滑动等),增强视觉体验。
漏洞原理:插件在处理用户输入时未进行充分的过滤和转义,攻击者可在文章、评论或短代码中注入恶意 javascript 代码。
危害:
- 窃取管理员的会话 cookie,直接接管后台。
- 在页面中植入虚假登录框,骗取用户账号密码。
- 插入黑链或垃圾广告,损害网站 seo。
利用条件:攻击者需要至少订阅者权限(au:s),但结合其他漏洞可降低门槛。
2.3 account manager for woocommerce:访问控制缺陷导致信息泄露
插件功能:为 woocommerce 商店增强账户管理功能(如角色权限、客户分组等)。
漏洞原理:插件配置了错误的访问控制级别,导致低权限用户(如订阅者、客户)可以访问或修改本不应触及的敏感数据。
危害:
- 泄露用户个人信息(姓名、地址、订单记录)。
- 可能修改订单状态或商品价格(取决于具体缺陷)。
- 为后续提权攻击提供信息。
利用条件:需要具有 woocommerce 商店的低权限账号(如普通注册用户)。
三、 为什么官方没有补丁?
这三个插件在 wordpress 官方插件库中均存在,但更新记录显示:
- auto making json-ld 最后更新时间为 2021 年。
- animate your content 用户量较小,可能已停止维护。
- account manager for woocommerce 旧版本 cve-2022-41656 曾被披露,但官方似乎未彻底修复或已放弃该项目。
这意味着,使用这些插件的网站将永远无法通过官方渠道获得安全更新。
四、 站长应急行动指南
4.1 立即停用并卸载插件(最高优先级)
登录 wordpress 后台 → 插件 → 已安装插件,找到以下三个插件,点击“停用”并“删除”:
- auto making json-ld
- animate your content
- account manager for woocommerce
如果网站功能依赖这些插件,请寻找替代方案(见下文)。
4.2 寻找功能相似的替代插件
| 原插件 | 推荐替代 |
|---|---|
| auto making json-ld | rank math seo、yoast seo、schema & structured data for wp |
| animate your content | 使用主题自带动画,或轻量级 css 动画(手动添加类) |
| account manager for woocommerce | woocommerce 自带的客户管理 角色插件(如 user role editor) |
4.3 清理已存在的恶意代码
如果怀疑已被攻击:
- 检查数据库中的
post_content、comment等表,查找包含 - 使用 wordfence 等安全扫描插件排查后门。
- 重置所有管理员密码,并检查是否有新增的未知管理员账户。
4.4 部署 web 应用防火墙(临时防护)
对于暂时无法停用插件的特殊情况(如深度依赖且无替代品),可部署 web 应用防火墙(waf)进行网络层拦截。
百度云防护 waf 可以:
- 拦截 xss 攻击载荷(规则 id 4196 等)。
- 检测 csrf 类型的恶意请求(配合 ip 黑白名单和请求限速)。
- 阻止未授权的后台访问(自定义路径访问规则)。
- 套餐计费,专业版 299 元/月,包含 cdn 流量和安全规则。
注意:waf 不能替代漏洞修复,但在官方补丁缺失的情况下,它是降低风险的有效手段。
五、 总结
近期连续披露的三个 wordpress 插件漏洞(auto making json-ld、animate your content、account manager for woocommerce)均因官方停止维护而无法获得修复。如果你还在使用这些插件,请立即停用并寻找替代品。对于无法替换的场景,请务必通过 ip 白名单限制后台访问,并部署专业的 waf 进行辅助防御。
自查清单:
- ✅ 检查插件列表,确认是否安装上述三个插件。
- ✅ 如已安装,立即停用并删除。
- ✅ 迁移到仍在维护的替代插件。
- ✅ 检查网站是否已被植入恶意代码或新增后门。
- ✅ 考虑部署 waf(如百度云防护)增强整体安全。
如果你不确定自己的网站是否受影响,或需要协助排查,欢迎联系 主机吧。我们提供免费安全评估和防护方案。
主机吧 | 百度云防护官方澳门凯发的合作伙伴
提供 waf 接入、高防 cdn、高防 ip、wordpress 安全加固服务
让漏洞插件不再成为网站的定时炸弹。