新闻链接： http://www.freebuf.com/news/59443.html
新闻时间： 2015-02-26
新闻正文：
WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞，影响全球100万以上网站。

FreeBuf科普：了解WP-Slimstat

WP-Slimstat全称为Wettable Powder Slimstat，是WordPress上最流行的网站流量实时统计插件。全球共有7000万使用WordPress搭建的网站，其中有超过130万使用了WP-Slimstat这款插件。

WP SlimStat 是一个功能非常强大的WordPress实时统计分析插件，功能众多，而且有中文包，使用非常方便。其功能包括：

实时网络分析报告
兼容 W3 Total Cache 插件
灵活方便的管理界面（你可以自定义移动、隐藏模块）
符合 欧洲隐私法  (IP Anonymizer)
最准确的IP地理位置、浏览器和平台检测
可以通过多个过滤器查看分析数据(IP地址、浏览器、搜索词、用户 和其他）
可以给特定用户添加查看和管理的权限
平移和缩放JavaScript的世界地图，支持移动设备
漏洞描述

所有3.9.6以前版本的WP-Slimstat都包含一个简单可猜测的密钥，这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破，攻击者可以通过SQL注入（盲注）攻击目标网站以获取敏感的数据库信息，包括用户名、密码（hash）以及至关重要的wordpress安全密钥。

WP-Slimstat密钥仅仅是该插件安装时的时间戳（MD5 hash版本号），而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。为此攻击者需要付出3千万次的猜解测试，而对于流行的CPU来说，这种量级的暴力破解只需要10分钟。

安全专家建议所有使用这款流行插件的站长尽快进行升级。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法