UpdraftPlus 备份插件曝认证绕过漏洞:300万WordPress站点可被远程接管

如果你的 WordPress 网站安装了 UpdraftPlus 备份插件，请立即检查版本。2026年6月11日公开的 CVE-2026-10795 揭示了一个令人震惊的认证绕过漏洞——攻击者无需任何账号密码，就能伪造管理员指令，直接在你的网站上执行远程代码。这个插件覆盖了超过 300 万个活跃网站，是 WordPress 生态中装机量最高的备份工具之一。

🚨 紧急预警

2026年6月11日公开，CVE-2026-10795，CVSS 评分 8.1。UpdraftPlus 备份插件在 1.26.4 及之前所有版本中存在认证绕过漏洞，攻击向量为 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H。虽然攻击复杂度标为"高"（AC:H），但漏洞的实际利用条件并不苛刻——攻击者只需构造特定格式的 RPC 消息即可绕过签名验证，进而以管理员身份执行任意操作。

🔍 快速自查（2 分钟）

第一步：检查插件版本

登录 WordPress 后台，进入「插件 → 已安装插件」，找到 UpdraftPlus，查看版本号。

版本 ≤ 1.26.4 → 受影响，立即升级
版本 ≥ 1.26.5 → 安全（已修复）

第二步：检查是否启用了远程通信功能

UpdraftPlus 的远程通信功能用于与 UpdraftCentral 等远程管理工具通信。在后台「UpdraftPlus → Settings → 专家/调试」中，查看是否启用了远程管理。如果启用了，风险更高，因为攻击者可以精确利用此通信通道。

远程管理已启用 + 版本 ≤ 1.26.4 → 高危
远程管理未启用 + 版本 ≤ 1.26.4 → 仍需升级（攻击者可能手动触发）
版本 ≥ 1.26.5 → 安全

第三步：检查最近的管理员操作日志

在 WordPress 后台检查是否有可疑的管理员操作记录，例如未知的插件安装、用户创建或设置变更。如果发现异常，可能意味着攻击者已经利用此漏洞入侵了你的网站。

有未知插件安装 / 用户创建记录 → 可能已被入侵
无异常操作记录 → 暂时安全，但仍需立即升级

⚠️ 风险确认表

无法排除的潜在风险

🛡️ 自救指南

第一步：立即升级到 1.26.5

登录 WordPress 后台，进入「插件 → 已安装插件」，找到 UpdraftPlus，点击「更新」。如果后台没有显示可用更新，前往 WordPress 官方插件页面手动下载最新版本 1.26.5，通过 FTP 或后台上传安装。修复版本 1.26.5 已于漏洞公开同日发布。

第二步：审查已安装插件列表

检查站点上是否存在你不认识的插件。攻击者通过此漏洞可以远程安装并激活任意插件，包括伪装成正常功能的恶意插件。逐一排查可疑插件，删除不认识的插件并检查其是否有残留文件。

# 通过 WP-CLI 快速列出所有已激活的插件
wp plugin list --status=active --format=table
# 检查近期安装的插件（按日期排序）
wp plugin list --fields=name,status,version --format=table

第三步：审查用户列表

进入「用户 → 所有用户」，检查是否存在你不认识的 administrator 级别账号。攻击者可以创建管理员账号来建立持久化访问。删除所有可疑账号，并检查现有管理员账号的邮箱地址是否被篡改。

# 列出所有管理员账号
wp user list --role=administrator --format=table
# 删除可疑管理员（替换 USER_ID）
wp user delete USER_ID --reassign=1

第四步：轮换所有敏感凭证

如果怀疑站点已被入侵，必须立即轮换所有敏感凭证。这包括 WordPress 管理员密码、数据库密码、FTP/SSH 凭证、托管面板密码，以及站点上所有第三方服务的 API 密钥（支付网关、邮件服务等）。UpdraftPlus 的备份文件中可能包含了 wp-config.php 中的数据库凭证，攻击者一旦获取备份即可直接访问数据库。

第五步：从干净的备份恢复

如果你有漏洞被利用之前的备份（且确认该备份未被篡改），最安全的做法是恢复整个站点。注意：不要使用 UpdraftPlus 本身创建的备份来恢复——攻击者可能已经通过此漏洞下载并篡改了备份文件。使用服务器级别的快照或独立的备份工具进行恢复。

🔬 技术分析

漏洞根因：远程通信签名验证绕过

UpdraftPlus 内置了一套远程通信机制（UDRPC），用于与 UpdraftCentral 等远程管理平台通信。这套机制基于"消息签名+加密"的安全模型：管理员在 UpdraftCentral 端发起操作指令，指令经过 RSA 签名和加密后，通过 WordPress 站点的 UpdraftPlus 插件接收并执行。

CVE-2026-10795 的核心问题出在 UpdraftPlus_Remote_Communications_V2::wp_loaded 函数中。该函数负责接收和处理远程 RPC 消息，但存在两个致命缺陷：

• 签名验证可被绕过：消息格式验证存在缺陷，攻击者可以通过构造特定格式的消息来跳过 RSA 签名校验步骤，使插件将未经验证的消息视为合法的管理指令。
• 解密失败时密钥折叠为零：当解密操作返回异常或空值时，代码未做错误处理，导致加密密钥被静默替换为一个可预测的全零值。攻击者一旦知道加密密钥为零向量，就可以构造出任何合法的加密消息。

攻击链还原

第一阶段：侦察。攻击者通过扫描 WordPress 站点指纹（如 HTML 源码中的 meta generator 标签、wp-content/plugins/updraftplus 目录的存在）来确认目标是否安装了 UpdraftPlus。大规模自动化扫描可以在数小时内覆盖数百万站点，识别出所有使用旧版本 UpdraftPlus 的目标。

第二阶段：消息伪造。攻击者利用签名验证绕过缺陷，构造一个伪造的 RPC 消息。由于解密密钥在错误情况下会折叠为全零值，攻击者使用全零密钥加密的载荷可以被正常解密，从而绕过整个加密+签名的双重保护机制。

第三阶段：插件投毒。攻击者通过伪造的 RPC 消息向 WordPress 站点发送"安装并激活插件"的指令。UpdraftPlus 的远程管理功能本身就支持远程操作插件，因此这条攻击路径不需要任何额外的漏洞利用。攻击者可以将恶意插件上传到站点的 wp-content/plugins 目录并激活它。

第四阶段：持久控制。恶意插件被激活后，攻击者获得完整的远程代码执行能力。典型操作包括：创建隐藏管理员账号、植入 PHP webshell、配置反向 shell 连接到 C2 服务器、篡改网站内容进行钓鱼攻击。由于控制权等同于管理员级别，攻击者可以执行 WordPress 允许的任何操作。

为什么 CVSS 8.1 的实际危害远超评分暗示

NVD 给出的 CVSS 评分为 8.1，攻击复杂度 AC:H（高），这是因为攻击者需要了解 UDRPC 协议的内部机制，并构造特定格式的消息才能绕过签名验证。然而，从实际威胁评估角度，有几个因素使此漏洞的实际危害远高于 8.1 分暗示的水平：

• 零认证门槛（PR:N）：攻击者不需要任何 WordPress 账号、管理员权限或 API 密钥，只需知道目标站点安装了 UpdraftPlus 即可发起攻击。
• 300万+影响面：UpdraftPlus 的活跃安装量超过 300 万，总下载量超过 1.5 亿次，是 WordPress 生态中装机量最高的备份工具。
• 备份插件 = 完整访问权限：备份插件天然拥有对服务器文件系统和数据库的完整访问权限。被攻破的备份插件等于把整个网站的控制权拱手让给攻击者。
• 自动化利用潜力：一旦有人发布漏洞利用脚本（即使只是概念验证），任何人都可以通过自动化工具批量攻击全网使用旧版本的 WordPress 站点。

影响代码分析

漏洞涉及的代码位于 UpdraftPlus 的第三方依赖 team-updraft/common-libs 中的 UDRPC v2 实现。具体文件为 vendor/team-updraft/common-libs/src/updraft-rpc/class-udrpc2.php，以及旧版 class-udrpc.php。

根据 NVD 的引用信息，WordPress 官方 Subversion 仓库中可以看到修复提交（changeset 3561938）对这两个文件进行了修改。修复的核心逻辑是加强消息格式的验证和签名校验，确保解密失败时不会静默降级到全零密钥，而是直接拒绝处理该消息。

值得注意的是，此漏洞并非 UpdraftPlus 插件本身的业务逻辑代码缺陷，而是其依赖的通用 RPC 通信库的问题。这意味着任何使用同一套 common-libs 库的插件都可能受到影响，不过目前只有 UpdraftPlus 被确认为受影响的下游消费者。

UpdraftPlus 安全历史

作为 WordPress 生态中装机量最大的备份插件之一，UpdraftPlus 此前也有过安全漏洞的记录。在 NVD 中可以查到该插件的多个历史 CVE，包括 XSS、CSRF 和信息泄露等类型的漏洞。然而，此次 CVE-2026-10795 是该插件迄今发现的最严重漏洞——从防御性的 XSS 或信息泄露升级为进攻性的认证绕过加远程代码执行，攻击面发生了质变。

UpdraftPlus 由英国开发者 David Anderson 团队开发和维护，长期以来在 WordPress 社区中享有良好的声誉。此次漏洞的修复响应速度很快——CVE 公开同日即发布了修复版本 1.26.5，体现了开发者团队对安全问题的重视。

🏗️ 防御纵深建议

• 网络分段：将 WordPress 管理后台（wp-admin）限制为特定 IP 段访问，减少攻击者接触 UpdraftPlus 远程通信接口的机会。通过 Web 应用防火墙（WAF）规则限制对 UDRPC 相关端点的直接访问。
• 文件监控：部署文件完整性监控工具（如 Aide、OSSEC），实时监控 wp-content/plugins 目录的变化。一旦检测到未知插件被上传，立即告警。UpdraftPlus 的远程安装功能正是攻击者最可能利用的入口。
• 自动更新：确保 WordPress 和所有插件都开启了自动更新功能。WordPress 5.5+ 默认支持插件的自动安全更新，但对于像 UpdraftPlus 这样的关键插件，建议手动确认每次更新。
• 最小权限原则：如果不需要 UpdraftPlus 的远程管理功能（如 UpdraftCentral），在插件设置中关闭此功能，减少潜在的攻击面。
• 备份安全：确保备份文件存储在 WordPress 站点目录之外的位置（如对象存储服务），并定期验证备份的完整性。UpdraftPlus 本身就是备份工具，但如果备份文件被攻击者获取，后果同样严重。

🏢 企业应急响应建议

• 资产盘点：立即清点企业内所有 WordPress 站点，确认哪些安装了 UpdraftPlus 插件，并记录当前版本号。使用 WPsiteAudit、ManageWP 等集中管理工具可以快速完成批量检查。
• 风险评估：对使用 UpdraftPlus 旧版本的站点进行风险评估。如果站点处理电商交易、用户敏感数据或属于面向公众的关键服务，应将其列为最高优先级进行修复。
• 分阶段补丁部署：对于拥有大量 WordPress 站点的企业，建议采用分阶段部署策略——先升级面向公众的核心站点，再升级内部站点，最后升级低流量的辅助站点。每阶段升级后进行功能验证。
• 事件响应：如果确认站点在漏洞窗口期内已被入侵，启动事件响应流程——隔离受影响的服务器、保存取证镜像、检查访问日志中的异常 RPC 请求、通知受影响的用户。

🇨🇳 中国用户影响分析

UpdraftPlus 在中国 WordPress 用户中拥有极高的渗透率。作为中国网站管理员最常用的 WordPress 备份解决方案之一，它被广泛应用于电商站点（配合 WooCommerce）、企业官网、博客和内容站点。根据 WordPress.org 的数据，UpdraftPlus 的总下载量超过 1.59 亿次，活跃安装量超过 300 万。

中国使用 UpdraftPlus 的典型场景包括：使用阿里云/腾讯云等国内云服务器搭建的 WordPress 站点、配合宝塔面板管理的建站环境、以及通过各类 WordPress 服务商（如主机服务商提供的预装 WordPress 套餐）间接安装的站点。这些站点的共同特点是：备份文件通常直接存储在服务器本地或云存储中，而 UpdraftPlus 的远程管理功能可能暴露了原本不应公开的通信接口。

特别需要警惕的是，中国大量中小型电商网站使用 WooCommerce + UpdraftPlus 的组合方案。这类站点存储了用户的订单信息、支付数据和个人信息，一旦被攻击者利用此漏洞获取完整控制权，不仅面临网站被篡改的风险，还可能导致用户数据泄露和合规责任。

📦 解决方案

修复版本：UpdraftPlus 1.26.5，已在 WordPress 官方插件目录发布。CVE 公开同日即完成修复，开发者响应及时。建议所有用户立即通过 WordPress 后台更新到最新版本。

如果因兼容性问题暂时无法升级，作为临时缓解措施，可以在 Web 服务器层面禁用 UpdraftPlus 的 UDRPC 通信端点，或暂时卸载插件并使用替代备份方案（如 BlogVault、Duplicator 等），待确认安全后再重新安装。但请注意，卸载前务必先通过其他安全途径备份站点数据。

参考资料：

• [1] NVD CVE-2026-10795
• [2] WordPress Changeset 3561938
• [3] Wordfence Threat Intelligence
• [4] UpdraftPlus WordPress.org Plugin Page

龙虾池子 · AI 自动生成