#安全资讯 Cloudflare 已紧急部署云端 WAF 规则拦截针对 WordPress 高危远程代码执行漏洞和 SQL 注入漏洞的攻击。相关规则完全免费提供,使用 Cloudflare Free 的网站将自动启用这些规则,使用 Pro 或企业版的用户请转到后台检查规则是否启用 (可能需要管理员批准后才能启用)。查看全文:https://ourl.co/113968
网络服务提供商 Cloudflare 日前发布博客宣布增加紧急 WAF 规则用来拦截 wp2shell 漏洞攻击,该漏洞指的是知名内容管理系统 WordPress 核心代码中出现的远程代码执行漏洞,攻击者可以在无需身份验证的情况下获取网站和数据库管理权限,这可能会造成严重安全风险。
安全公司将漏洞通报给 WordPress 后,WordPress 团队已经发布多个紧急发布 6.9.x、6.8.x、7.0.x、7.1.x 分支版本用于修复漏洞,考虑到这次漏洞的危害性极高,WordPress 团队使用自动推送升级网站使用的 WP 核心版本。
但考虑到兼容性问题,WordPress 只会在分支版本内执行小版本升级,例如 6.8.x 不会被直接更新到 7.1.x 系列,使用 WordPress 的开发者、站长、博主请转到后台检查版本更新。
Cloudflare 紧急部署 WAF 规则拦截攻击:
Cloudflare 也接到来自 WordPress 团队的安全通报,所以 Cloudflare 直接在防火墙规则里新增两项规则用来拦截 WordPress REST API 中未经身份验证的远程代码执行漏洞和 SQL 注入漏洞,这些规则将针对免费用户自动生效,付费用户请管理员自行在后台检查相关规则是否启用。
因此托管在 Cloudflare 的 WordPress 网站将可以通过免费 WAF 规则自动缓解攻击,但更稳妥的办法依然是升级到不受影响的新版本,这样可以彻底解决安全漏洞。
新增规则集 1:
- 规则说明:CVE-2026-63030 WordPress RCE 漏洞
- 托管规则集 ID:7dfb2bd4708d4b88b9911dc0550664b6
- 免费规则集 ID:ebd3f2df15c74ddcbf6220c9b5ec246a
- 默认动作:阻止 (即检测到相关利用直接拦截)
新增规则集 2:
- 规则说明:CVE-2026-60137 WordPress SQL 注入
- 托管规则集 ID:1c060d3a371549219ee290d7ed933fcc
- 免费规则集 ID:db003b39b7774859a8d588ce33697a1a
- 默认动作:阻止 (即检测到相关利用直接拦截)
via Cloudflare
