摘要

• 漏洞：經過身份驗證的（管理員）存儲跨站腳本（XSS）。.
• 受影響的軟體：AMP 增強器 — 官方 AMP 插件的相容性層，版本 ≤1.0.49。.
• CVE：CVE-2026-2027
• 嚴重性：中等（維護者評級 CVSS 5.9）。實際影響取決於攻擊者對管理員帳戶的訪問。.
• 利用前提：網站上的管理員權限（或說服管理員保存惡意 CSS）。.
• 立即緩解措施：停用或移除插件；檢查並清理數據庫中的存儲設置；限制管理員帳戶；應用虛擬修補 / WAF 規則以阻止惡意 CSS 負載，同時準備全面清理。.
• 恢復：如果懷疑遭到入侵，請隔離網站，輪換憑證，掃描並移除注入內容，必要時從乾淨的備份中恢復。.

為什麼這個存儲 XSS 重要 — 即使只有管理員要求

雖然利用需要管理員保存負載，但攻擊面仍然相當可觀：

• 被盜或釣魚的管理員憑證允許通過存儲 XSS 獲得持久的立足點。.
• 擁有管理員訪問權限的惡意承包商或內部人員可以故意注入負載。.
• 社會工程可以欺騙管理員粘貼看似合法的 CSS，其中包含隱藏的負載。.

可能的後果包括會話盜竊、全站重定向、SEO 中毒、後門腳本注入和聲譽損害。由於負載存儲在配置中並在全站提供，單次成功注入可以影響每位訪問者和加載受影響頁面的管理員。.

問題如何運作（技術概述）

1. 該插件提供了一個“AMP 自定義 CSS”設置，管理員可以在此輸入 AMP 頁面的 CSS。.
2. 設定會持久化存儲在資料庫中，並在稍後回顯到頁面標記中以供 AMP 輸出。.
3. 不足的清理允許輸入被瀏覽器解釋為可執行的或能夠跳出 CSS 上下文（例如，關閉樣式區塊或引入 HTML 的結構）。.
4. 由於內容被存儲並輸出給訪問者，XSS 是持久的（存儲型）並在隨後的頁面查看中執行。.

注意：現代瀏覽器和舊版怪癖可以將意外序列轉換為可執行的操作，當用戶控制的數據在未經安全編碼的情況下輸出時。.

現實的利用場景

• 被盜的管理員憑證：攻擊者登錄，將惡意內容粘貼到 AMP 自定義 CSS 中，並將有效載荷提供給訪問者。.
• 社會工程：管理員被說服從不受信任的來源粘貼“推薦的 CSS”，該來源包含混淆的有效載荷。.
• 惡意內部人員：擁有管理員訪問權限的員工或承包商存儲有效載荷以竊取數據或破壞網站。.

您可能已經受到影響的跡象

• 頁面源代碼或樣式內的意外內聯 JavaScript 或 HTML 片段。.
• 網站頁面重定向到外部域名。.
• 異常的儀表板行為或意外的管理員通知。.
• 新的或未知的管理員用戶、您未創建的編輯帖子/頁面、可疑的 cron 任務或修改的核心/主題/插件文件。.
• 搜索引擎警告、黑名單或異常的流量模式。.

如果您使用受影響版本的插件並注意到這些跡象，請假設可能已被攻擊並立即遵循控制步驟。.

網站所有者的立即步驟（按順序）

1. 將網站置於維護模式或減少曝光：在調查期間暫時限制公共訪問。.
2. 停用 AMP Enhancer 插件：最簡單的立即緩解措施是停用或刪除插件，以停止其提供存儲的內容。.
3. 檢查並清理 AMP 自定義 CSS 設定：
   • 檢查存儲自定義 CSS 的插件選項（常見鍵可能包括 amp_custom_css 或特定插件選項名稱）。.
   • 如果您發現意外內容，請將其刪除或將字段設置為空字符串。.
   • 示例 WP-CLI： wp 選項 獲取 amp_custom_css 並清除： wp 選項 更新 amp_custom_css ''
   • SQL 檢查示例（請務必先備份）：

   SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%amp%' OR option_value LIKE '%javascript:%' OR option_value LIKE '%<script%';

4. 旋轉憑證並鎖定管理員訪問：
   • 重置所有管理員帳戶的密碼，並強制使用強大且唯一的密碼。.
   • 在可能的情況下，要求所有管理員啟用雙因素身份驗證。.
   • 刪除或降級未知的管理員用戶。.
5. 審查最近的管理員活動：檢查審計日誌（如果可用）以識別誰更改了設置；如果缺失，請啟用日誌記錄。.
6. 掃描網站以尋找其他指標：執行全站惡意軟件掃描，並檢查帖子、選項、主題文件和上傳的內容以尋找注入的代碼。.
7. 審查備份：如果您檢測到安全漏洞且無法自信地清理，請從注入之前的已知良好備份中恢復。.
8. 作為臨時措施應用虛擬修補程序/WAF 規則：阻止可疑有效負載被保存，並防止已存儲的有效負載到達客戶端（詳情如下）。.
9. 在清理後定期監控和重新掃描，以檢測再感染或重複的惡意更改。.

查找 AMP 自定義 CSS 條目（WP-CLI 和 SQL）

幫助定位可疑值的示例（如果不確定，請替換表前綴） wp_):

# WP-CLI（如果您知道選項名稱）;

在從生產環境中移除可疑內容之前，始終將其導出到安全環境進行分析。.

安全修復存儲的設置

• 檢查 CSS 是否存在危險結構：
  • url(javascript: 模式
  • 表達式(...) （舊版 IE）
  • -moz-binding 或 行為： 屬性
  • 嵌入的 HTML 片段，如 </style>, <script>, ，或事件處理程序，如 onerror=
  • 帶有 HTML 或 JavaScript 的數據 URI (data:text/html;)
• 如果不確定，請完全清空該字段，並僅重新輸入經過審核的最小 CSS。.
• 優先將關鍵樣式移動到版本控制下的主題文件中，並由開發人員審核，而不是依賴不受信任的管理員輸入的 CSS。.

開發者指導：如何正確修復插件

插件維護者應同時使用嚴格的輸入驗證和安全的輸出編碼：

1. 在保存時驗證輸入：
   • 拒絕任意的 HTML 或不符合純 CSS 欄位的結構。.
   • 實施嚴格的允許 CSS 屬性和值格式的白名單，而不是依賴黑名單。.
   • 阻止以下結構： url(javascript:...), 表達式(...), -moz-binding, 行為：, ，以及嵌入 HTML 的數據 URI。.
2. 在輸出時進行清理或轉義：
   • 在將存儲的 CSS 寫入頁面時，確保它無法脫離樣式上下文。將其視為純文本，並轉義可能關閉樣式區塊或開始 HTML 的字符。.
   • 使用適合放置在 <style> 區塊。.
   • 的內容的伺服器端轉義函數。, current_user_can('manage_options')始終強制執行能力檢查（例如，.
3. ）和管理表單及保存的隨機數。.
4. 使用經過審核的 CSS 清理庫或實施嚴格的白名單方法，並包括單元測試以確認拒絕惡意序列。.
5. 添加自動化測試和模糊測試到持續集成中，以檢測回歸和常見的 XSS 變異向量。.

文件化自定義 CSS 的處理方式，並警告管理員關於粘貼不受信任內容的風險。

WAF / 虛擬修補（通用指導）.

網路應用防火牆（WAF）或響應檢查層是等待官方插件更新時的有價值的短期緩解措施。正確配置的 WAF 規則可以阻止保存惡意 CSS 的嘗試，並防止已存儲的有效負載到達客戶端。

• WAF 或邊緣過濾器的有用操作： url(javascript:, 阻止當有效負載包含明顯的惡意模式（不區分大小寫）時更新插件自定義 CSS 選項的 POST 請求：, -moz-binding, <script, onerror=, expression(.
• 檢查外發的回應，並在它們到達瀏覽器之前中和或刪除可疑的序列。.
• 對不熟悉的 IP 限制或阻止管理端點，並在重複嘗試更改設置時發出警報。.
• 當發生被阻止的請求時，記錄管理帳戶和來源 IP，以協助取證分析。.

示例偽正則表達式模式（僅供說明 - 請仔細測試以避免誤報）：

(?i)url\(\s*javascript:

規則應調整以避免阻止合法的 CSS（例如，合法的 url() 圖像引用）。專注於在現代 CSS 中沒有合理合法用途的結構。.

恢復檢查清單（如果您懷疑被入侵）

1. 隔離網站（維護模式）以限制進一步損害。.
2. 進行完整備份（數據庫 + 文件）以便進行取證分析。.
3. 掃描惡意文物：選項、帖子、主題/插件文件、上傳和計劃任務條目。.
4. 刪除惡意內容：清除受影響的選項，將更改的文件替換為來自可信來源的原始文件。.
5. 旋轉管理員密碼並重置 API 密鑰。.
6. 審核用戶帳戶並刪除未知或未使用的管理帳戶。.
7. 加強管理訪問：啟用雙因素身份驗證，根據實際情況應用 IP 限制，並最小化管理帳戶。.
8. 如有必要，從乾淨的備份中恢復。.
9. 在清理後積極監控網站以尋找再感染的跡象。.

WordPress 網站所有者的長期安全最佳實踐

• 最小化管理員帳戶的數量並使用最小特權原則。.
• 強制使用強大且唯一的密碼，並要求管理員使用雙因素身份驗證。.
• 保持 WordPress 核心、主題和插件更新；在生產環境之前在測試環境中測試更新。.
• 移除未使用的插件和主題；不要無限期保留禁用的插件。.
• 安裝插件前進行審核：檢查最近的更新、維護者和社區反饋。.
• 維護頻繁的、經過驗證的備份，並將其存儲在異地，定期測試恢復。.
• 使用 WAF 或響應檢查層作為零日攻擊場景的分層防禦的一部分。.
• 啟用管理操作的日誌記錄和監控，並定期檢查日誌。.
• 實施內容安全政策 (CSP)，以減少 XSS 的影響，並與您的網站/AMP 要求兼容。.
• 定期進行安全審計和自定義代碼的代碼審查。.

建議的 HTTP 安全標頭

• 內容安全政策 (CSP) — 嚴格的 CSP 可以限制腳本/樣式的加載位置。與 AMP 小心測試。.
• X-Content-Type-Options: nosniff
• X-Frame-Options： SAMEORIGIN （或 DENY （在適當的情況下）
• 引用來源政策： no-referrer-when-downgrade （或更嚴格）
• 嚴格傳輸安全： max-age=31536000; includeSubDomains; preload （如果使用 HTTPS）

小心測試標頭，以避免破壞網站功能或 AMP 約束。.

檢測查詢和掃描

使用這些查詢作為起點，搜索可疑的存儲 CSS 和 XSS 指標（根據需要替換表前綴）：

SELECT option_name, option_value;

將自動掃描器與手動檢查結合；自動工具可能會錯過混淆的有效載荷或產生誤報。.

實用的管理命令（複製-粘貼）

# 首先備份數據庫和文件（始終）'

在對數據庫執行更新或刪除操作之前，始終進行備份。.

最終檢查清單（可行）

• 暫時停用或移除 AMP Enhancer 插件（≤1.0.49）。.
• 備份網站（文件 + 數據庫）。.
• 檢查並在需要時清除數據庫中的 AMP 自定義 CSS 設置。.
• 重置管理員密碼並要求所有管理員啟用 2FA。.
• 掃描網站以查找注入的腳本、修改的文件和可疑的計劃任務。.
• 應用 WAF/虛擬補丁規則以阻止危險的 CSS 結構和外部注入模式。.
• 監控被阻止的事件和審計日誌以查找重複的嘗試。.
• 當修復版本發布時立即更新插件，並先在測試環境中進行測試。.
• 加強管理員訪問（IP 限制、強密碼、更少的管理員帳戶）。.
• 考慮在代碼審查和質量保證後，將關鍵 CSS 移動到版本控制下的主題文件中。.

結語

在面向管理員的功能中存儲的 XSS，例如“自定義 CSS”字段，展示了便利性如何引入風險。正確的方法是分層的：移除或限制易受攻擊的插件，清理並保護網站，並在應用永久修復的同時使用響應檢查或 WAF 規則作為臨時控制。.

如果您管理多個網站或在清理過程中無法容忍停機，考慮聘請合格的安全專業人員來實施虛擬補丁、執行量身定制的清理並準備修復計劃。.

如果您希望獲得量身定制的修復計劃（逐步命令、搜索和清理腳本以及針對您的環境調整的建議 WAF 規則集），請回覆您是使用共享主機、管理的 WordPress 還是擁有根/伺服器訪問權限，我將為您準備一份。.

— 香港安全專家