紧急预警:WordPress 表单插件爆出严重 RCE 漏洞,全球已有网站被入侵
一句话总结:如果你网站用了 Everest Forms Pro,立刻升级。攻击者已经在利用这个漏洞接管你的 WordPress 后台了。
事情是这样的
6 月 6 日,安全厂商 Wordfence 发布紧急公告:WordPress 知名表单插件 Everest Forms Pro 存在一个 Critical 级别的远程代码执行漏洞(CVE-2026-3300),攻击者无需任何登录认证,就能在服务器上执行任意 PHP 代码。
更糟糕的是——攻击者已经在大规模利用这个漏洞了。
Wordfence 的防火墙从 4 月 13 日开始就拦截了 超过 29,300 次攻击尝试,而且这些攻击全部来自真实 IP,不是扫描器在碰运气。
漏洞原理:一个 eval() 引发的血案
Everest Forms Pro 的 Complex Calculation(复杂计算)功能有一个要命的实现:
// 简化后的漏洞代码示意
$input = sanitize_text_field($_POST['value']);
$code = '$result = ' . $input . ';';
eval($code); // ← 这里直接执行了用户输入问题出在 sanitize_text_field() 这个函数——它不会转义单引号 ',也不会过滤其他能影响 PHP 语法的字符。
攻击者只需要在表单字段里提交这样的值:
' . wp_insert_user(array('user_login'=>'diksimarina','user_pass'=>'hack123','role'=>'administrator')) . '就能闭合原始字符串,注入自己的 PHP 代码,然后利用 // 注释掉后面的内容,让整行代码正常执行。
结果?攻击者直接在你的 WordPress 里创建了一个管理员账号。
攻击者做了什么?
根据 Wordfence 的遥测数据,攻击者创建的用户名是 diksimarina,然后利用这个管理员账号:
▪安装 Webshell 后门
▪修改网站内容
▪访问数据库,窃取用户信息
▪进一步横向渗透内网
攻击主要来自两个 IP 地址:
▪202.56.2[.]126
▪209.146.60.26
但安全研究员 Pasquale Pillitteri 表示还有更多攻击 IP 没有被公开。
影响范围有多大?
Everest Forms 是 WordPress 生态里最流行的表单插件之一,免费版 + Pro 版合计安装量超过 20 万。受影响版本:
▪Everest Forms Pro ≤ 1.9.12(全部受影响)
▪免费版 Everest Forms 目前暂未报告受影响
关键数据:
▪漏洞提交时间:2026 年 2 月(研究者 h0xilo 通过 Wordfence 提交)
▪补丁发布时间:2026 年 3 月 18 日
▪首次发现实际利用:2026 年 4 月 13 日
▪已拦截攻击次数:29,300+
▪CVSS 评分:Critical(10.0)
你现在应该做什么?
第一步:确认你是否受影响
登录你的 WordPress 后台,进入 插件 → 已安装的插件,检查是否有 Everest Forms Pro,以及版本号是否 ≤ 1.9.12。
第二步:立即升级到最新版本
如果受影响,马上升级到 1.9.13 或更高版本。
# 如果你用 WP-CLI,一条命令搞定:
wp plugin update everest-forms第三步:检查是否已经被入侵
这是很多人会忽略的一步——升级不代表安全了,因为攻击者可能已经创建了后门账号。
检查管理员账号:
▪进入 WordPress 后台 → 用户 → 所有用户
▪查找是否有可疑的管理员账号,特别是名为 diksimarina 的
▪检查是否有你不认识的管理员或编辑角色用户
检查日志文件:
# 搜索包含攻击者用户名的日志
grep -r "diksimarina" /var/log/nginx/ 2>/dev/null
grep -r "diksimarina" /var/log/apache2/ 2>/dev/null
# 搜索 wp_insert_user 调用
grep -r "wp_insert_user" /path/to/wordpress/wp-content/uploads/ 2>/dev/null检查可疑文件:
# 查找最近 30 天内修改的 PHP 文件(可能是 Webshell)
find /path/to/wordpress/ -name "*.php" -mtime -30 -type f
# 查找常见的 Webshell 特征
grep -rl "eval(" /path/to/wordpress/wp-content/uploads/ 2>/dev/null
grep -rl "base64_decode" /path/to/wordpress/wp-content/uploads/ 2>/dev/null
grep -rl "gzinflate" /path/to/wordpress/wp-content/uploads/ 2>/dev/null第四步:封锁攻击 IP
在防火墙或 Nginx/Apache 配置中封锁已知攻击 IP:
# Nginx 示例
deny 202.56.2.126;
deny 209.146.60.26;第五步:加强 WordPress 安全
# 1. 修改所有管理员密码(强制所有用户重新登录)
wp user list --role=administrator --field=user_login | xargs -I{} wp user update {} --user_pass=$(openssl rand -base64 16)
# 2. 限制 XML-RPC 访问(防止暴力破解)
# 在 Nginx 中添加:
# location ~* /xmlrpc.php { deny all; }
# 3. 安装 Wordfence 或 Sucuri 防火墙插件
wp plugin install wordfence --activate更深层的教训:WordPress 插件安全不是小事
这个漏洞再次暴露了 WordPress 生态的一个系统性风险:
①eval() 在 Web 应用里就是定时炸弹——任何接受用户输入再 eval 的代码,最终都会被利用。这不是"如果"的问题,是"什么时候"的问题。
②补丁发布 ≠ 安全——这个漏洞 3 月 18 日就打了补丁,但 4 月 13 日就有人开始利用了。中间有一个月的窗口期,很多网站管理员根本没看到更新通知。
③WordPress 的安全责任在站长自己——不像 SaaS 平台自动更新,WordPress 是开源自托管,插件更新、安全检查、后门排查,全部靠站长自己。
给所有 WordPress 站长的建议
| 措施 | 优先级 | 说明 |
|---|---|---|
| 开启自动更新 | 🔴 最高 | 在 wp-config.php 中添加 define('WP_AUTO_UPDATE_CORE', true); |
| 定期扫描恶意代码 | 🔴 最高 | 每周运行一次 Wordfence 扫描 |
| 最小权限原则 | 🟡 高 | 不要给任何人管理员权限,除非必要 |
| Web 应用防火墙 | 🟡 高 | Cloudflare WAF / Wordfence Premium |
| 定期备份 | 🟡 高 | 至少每日备份,且备份文件不在服务器上 |
| 关闭文件编辑 | 🟢 中 | define('DISALLOW_FILE_EDIT', true); |
| 限制登录尝试 | 🟢 中 | 安装 Limit Login Attempts 插件 |
总结
CVE-2026-3300 不是一个"理论上的风险"——攻击者已经在用它接管网站了。如果你的 WordPress 网站用了 Everest Forms Pro,现在就去检查。
不要等到网站被挂黑页、数据库被拖、客户信息被卖,才后悔没有及时升级。
安全这件事,永远比你想的更紧急。
参考资料:
▪Wordfence 漏洞公告:https://www.wordfence.com/threat-intel/vulnerabilities
▪BleepingComputer 报道:https://www.bleepingcomputer.com/news/security/critical-everest-forms-pro-flaw-exploited-to-take-over-wordpress-sites/
▪CVE-2026-3300 NVD 页面:https://nvd.nist.gov/vuln/detail/CVE-2026-3300
持续输出高质量安全内容
想继续交流漏洞分析、攻防实践和文章里的细节补充,欢迎扫码进群。
群内会不定期分享复现思路、工具经验和最新讨论。
扫码即可加入交流,二维码失效可在后台回复「加群」。
也欢迎直接反馈你想看的后续选题
夜雨聆风