建议使用“Total Donations”插件的WordPress网站所有者从其服务器中删除插件，以防止黑客利用其代码中未修补的漏洞并接管受影响的网站。

过去一周，来自WordPress Wordfence防火墙插件背后的公司Defiant的安全专家已经观察到使用这个零日攻击。

零日影响所有版本的Total Donations，这是网站所有者在过去几年中从CodeCanyon购买的商业插件，并且过去常常收集和管理来自各自用户群的捐赠。

根据Defiant研究员Mikey Veenstra的说法，该插件的代码包含几个设计缺陷，这些缺陷本身就会将插件和WordPress网站暴露给外部操作，即使是来自未经身份验证的用户也是如此。

在周五发布的安全警报中，Veenstra表示该插件包含一个AJAX端点，任何远程未经身份验证的攻击者都可以查询该端点。

AJAX端点驻留在其中一个插件的文件中，这意味着停用插件并不能消除威胁，因为攻击者可以直接调用该文件，只有完整地删除插件才能保护站点免受攻击。

此AJAX端点允许攻击者更改任何WordPress站点的核心设置的值，更改与插件相关的设置，修改通过插件接收的捐赠的目标帐户，甚至检索Mailchimp邮件列表(该插件也支持作为附加功能) 。

Defiant表示，所有与该插件开发者联系的尝试都是无用的。开发人员的网站似乎在2018年5月左右失效，插件的CodeCanyon产品列表几乎在同一时间停用，因为无数用户报告他们没有收到他们报告的几个错误的插件更新。