Ultimate Member是一款强大的WordPress插件，设计用于创建高级用户配置文件和社区驱动的网站。这款插件带有许多特性，使得管理用户和成员变得更加方便，同时为WordPress站点增加了社区功能。安全公司 Wordfence 目前曝出该插件存在零日漏洞，黑客可将自己的账号提权为管理员，进而控制接管网站。

据悉，该插件存在编号为 CVE-2023-3460 的重大漏洞，风险评分为 9.8，黑客可利用该漏洞，绕过此插件内置的各项安全措施，修改账号的 wp_capabilities 配置数据，以将黑客的账号设置为管理员角色，进而控制受害网站。

插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复，此后在 7 月 1 日发布了 2.6.7 版本，完全修复了该漏洞。

目前部署 Ultimate Member 插件的 WordPress 网站超过 20 万个，考虑到这一预装量及信息差导致的插件更新延迟，这些网站依然极容易遭到黑客攻击。

什么是WordPress零日漏洞

"WordPress零日漏洞"指的是一个攻击者在没有先前警告或修补程序的情况下，可以利用的WordPress软件中的安全漏洞。"零日"这个词源于"零天"，意味着开发人员和公众在攻击者开始利用这个漏洞之前，可能对此一无所知。

这种类型的漏洞尤其危险，因为它们通常会在安全研究人员有机会发现并修补它们之前被利用。当这些漏洞被发现并公开之后，WordPress的开发者通常会尽快发布一个修补程序，以关闭这个漏洞。然而，在这个修补程序发布和用户应用这个修补程序之间的时间，网站仍然处于风险之中。

为了保护你的WordPress网站不受零日漏洞的攻击，你可以采取一些预防措施，如：

1. 定期更新WordPress，包括你的主题和插件。这将确保你及时获得任何已知漏洞的修补程序。

2. 使用安全插件，如Wordfence或Sucuri，它们可以提供额外的保护措施，包括防火墙和恶意软件扫描。

3. 保持备份你的网站。如果你的网站被攻击，有一个最近的备份可以帮助你恢复正常运行。

4. 限制管理员访问。只有需要的人才应该有访问你的WordPress管理员面板的权限。

这些措施虽然不能完全防止零日攻击，但可以显著降低你的网站被攻击的风险。

Ultimate Member插件的功能简介

1.用户注册和登录：Ultimate Member允许你创建自定义的注册和登录表单，你可以在这些表单上设置自定义字段和条件。这意味着你可以根据你的需要来获取用户的相关信息。

2.用户角色：你可以创建和管理不同的用户角色，并为每个角色设置不同的访问和操作权限。

3.用户配置文件：这款插件允许你为用户创建详细的个人配置文件页面，你可以在这些页面上添加自定义字段，例如头像，个人简介等。用户还可以根据设定来编辑和更新他们的配置文件信息。

4.成员目录：Ultimate Member提供了创建和定制成员目录的功能，这让用户能够轻松地查找和联系其他用户。

5.内容访问控制：你可以设置哪些用户角色可以访问站点上的特定内容，例如某些页面，帖子或其他内容。

6.扩展插件：Ultimate Member提供了一系列的扩展插件，使你能够添加更多的功能，如社交网络连接，私人消息，通知，用户评论等。