今天，WordPress安全团队宣布了一个严重的漏洞，允许未经身份验证的用户使用未修补（低于4.7.2版）的WordPress更改网站上的内容。CC BY-SA 2.0图像由Nicola Sap De Mitri提供Sucuri的团队发现了这个问题，并报告给了WordPress。WordPress团队与WAF供应商（包括Cloudflare）合作，在补丁可用之前推出保护。本周早些时候，我们推出了两个规则来防止利用这个问题（这两种类型都在Sucuri博客文章中提到）。我们一直在监测局势，在这一漏洞被公开宣布之前，我们没有看到任何人试图利用这一漏洞。付费计划的客户将在WAF中找到两个规则，WP0025A和WP0025B，它们保护未修补的WordPress站点不受此漏洞的影响。如果Cloudflare WordPress规则集已启用，则这些规则将自动打开并阻止。保护所有人正如我们过去处理其他严重和关键的漏洞，如Shellshock和JetPack以前的问题一样，我们也为我们的免费客户启用了这两个规则。想要完全保护其WordPress站点的免费客户可以升级到付费计划，并在WAF中启用Cloudflare WordPress规则集。