2026 年 6 月上旬,国家信息安全漏洞共享平台(CNVD)连续收录了三个 WordPress 插件的安全漏洞,涉及 跨站请求伪造(CSRF)、跨站脚本(XSS)以及访问控制缺陷。这三个插件分别是 auto making JSON-LD、Animate Your Content、Account Manager for WooCommerce。更令人担忧的是,截至目前,官方均未发布任何修复补丁。如果你的网站安装了这些插件,建议立即停用或采取临时防护措施。
一、 漏洞概览
| 插件名称 | 影响版本 | 漏洞类型 | CNVD 编号 | CVE 编号 | 官方补丁 |
|---|---|---|---|---|---|
| auto making JSON-LD | ≤ 4.5.3 | 跨站请求伪造(CSRF) | CNVD-2026-22802 | CVE-2026-8938 | ❌ 无 |
| Animate Your Content | ≤ 1.0.0 | 跨站脚本(XSS) | CNVD-2026-22801 | CVE-2026-8872 | ❌ 无 |
| Account Manager for WooCommerce | ≤ 2.1.2 | 未明(访问控制缺陷) | CNVD-2026-22800 | CVE-2022-41656 | ❌ 无 |
这三个插件均因“厂商尚未提供漏洞修复方案”而被 CNVD 收录,且验证信息均为“暂无”或“已验证”。这意味着使用这些插件的 WordPress 网站将长期暴露于风险之中。
二、 漏洞详解
2.1 auto making JSON-LD:CSRF 导致 SEO 数据被篡改
插件功能:自动生成网站的结构化数据(JSON-LD),用于优化搜索引擎展示(如面包屑、产品信息、评价等)。
漏洞原理:插件的设置页面缺少有效的 nonce(一次性令牌) 校验,攻击者可构造恶意请求,诱骗已登录的管理员点击,从而修改插件的配置。
危害:
- 篡改网站名称、描述、社交媒体链接,导致搜索引擎结果页显示错误信息。
- 注入恶意结构化数据,可能被搜索引擎判定为垃圾内容,导致网站降权。
- 结合 XSS 可进一步实现后台劫持。
利用条件:需要诱导管理员点击恶意链接(社交工程)。
2.2 Animate Your Content:XSS 导致会话劫持
插件功能:为网页元素添加动画效果(如淡入淡出、滑动等),增强视觉体验。
漏洞原理:插件在处理用户输入时未进行充分的过滤和转义,攻击者可在文章、评论或短代码中注入恶意 JavaScript 代码。
危害:
- 窃取管理员的会话 Cookie,直接接管后台。
- 在页面中植入虚假登录框,骗取用户账号密码。
- 插入黑链或垃圾广告,损害网站 SEO。
利用条件:攻击者需要至少订阅者权限(Au:S),但结合其他漏洞可降低门槛。
2.3 Account Manager for WooCommerce:访问控制缺陷导致信息泄露
插件功能:为 WooCommerce 商店增强账户管理功能(如角色权限、客户分组等)。
漏洞原理:插件配置了错误的访问控制级别,导致低权限用户(如订阅者、客户)可以访问或修改本不应触及的敏感数据。
危害:
- 泄露用户个人信息(姓名、地址、订单记录)。
- 可能修改订单状态或商品价格(取决于具体缺陷)。
- 为后续提权攻击提供信息。
利用条件:需要具有 WooCommerce 商店的低权限账号(如普通注册用户)。
三、 为什么官方没有补丁?
这三个插件在 WordPress 官方插件库中均存在,但更新记录显示:
- auto making JSON-LD 最后更新时间为 2021 年。
- Animate Your Content 用户量较小,可能已停止维护。
- Account Manager for WooCommerce 旧版本 CVE-2022-41656 曾被披露,但官方似乎未彻底修复或已放弃该项目。
这意味着,使用这些插件的网站将永远无法通过官方渠道获得安全更新。
四、 站长应急行动指南
4.1 立即停用并卸载插件(最高优先级)
登录 WordPress 后台 → 插件 → 已安装插件,找到以下三个插件,点击“停用”并“删除”:
- auto making JSON-LD
- Animate Your Content
- Account Manager for WooCommerce
如果网站功能依赖这些插件,请寻找替代方案(见下文)。
4.2 寻找功能相似的替代插件
| 原插件 | 推荐替代 |
|---|---|
| auto making JSON-LD | Rank Math SEO、Yoast SEO、Schema & Structured Data for WP |
| Animate Your Content | 使用主题自带动画,或轻量级 CSS 动画(手动添加类) |
| Account Manager for WooCommerce | WooCommerce 自带的客户管理 + 角色插件(如 User Role Editor) |
4.3 清理已存在的恶意代码
如果怀疑已被攻击:
- 检查数据库中的
post_content、comment等表,查找包含<script、javascript:的字段。 - 使用 Wordfence 等安全扫描插件排查后门。
- 重置所有管理员密码,并检查是否有新增的未知管理员账户。
4.4 部署 Web 应用防火墙(临时防护)
对于暂时无法停用插件的特殊情况(如深度依赖且无替代品),可部署 Web 应用防火墙(WAF)进行网络层拦截。
百度云防护 WAF 可以:
- 拦截 XSS 攻击载荷(规则 ID 4196 等)。
- 检测 CSRF 类型的恶意请求(配合 IP 黑白名单和请求限速)。
- 阻止未授权的后台访问(自定义路径访问规则)。
- 套餐计费,专业版 299 元/月,包含 CDN 流量和安全规则。
注意:WAF 不能替代漏洞修复,但在官方补丁缺失的情况下,它是降低风险的有效手段。
五、 总结
近期连续披露的三个 WordPress 插件漏洞(auto making JSON-LD、Animate Your Content、Account Manager for WooCommerce)均因官方停止维护而无法获得修复。如果你还在使用这些插件,请立即停用并寻找替代品。对于无法替换的场景,请务必通过 IP 白名单限制后台访问,并部署专业的 WAF 进行辅助防御。
自查清单:
- ✅ 检查插件列表,确认是否安装上述三个插件。
- ✅ 如已安装,立即停用并删除。
- ✅ 迁移到仍在维护的替代插件。
- ✅ 检查网站是否已被植入恶意代码或新增后门。
- ✅ 考虑部署 WAF(如百度云防护)增强整体安全。
如果你不确定自己的网站是否受影响,或需要协助排查,欢迎联系 主机吧。我们提供免费安全评估和防护方案。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、WordPress 安全加固服务
让漏洞插件不再成为网站的定时炸弹。
