紧急安全警报：图标工厂插件（≤ 1.6.12）— 未经身份验证的任意文件删除（CVE-2025-7778）

TL;DR
WordPress 图标工厂插件（版本 ≤ 1.6.12）中的一个关键漏洞（CVE-2025-7778）允许未经身份验证的攻击者在没有授权检查的情况下调用文件删除例程（delete_files()）。CVSS 评分为高（8.6）。后果包括网站崩溃、数据丢失和攻击者的后续行动。如果您运行此插件，请立即采取行动：禁用或删除该插件，如有必要，从经过验证的干净备份中恢复，并通过您的 WAF 应用虚拟补丁，直到供应商修复可用。.

这很重要的原因（简短风险摘要）

• 漏洞类型：任意文件删除 — 文件删除功能缺少授权检查。.
• 所需权限：无 — 未经身份验证的攻击者可以触发删除。.
• 影响：攻击者可以删除网络服务器用户可以访问的文件 — 插件/主题文件、上传、缓存，以及如果权限允许，可能的核心文件。.
• 紧急性：高 — 一旦公开的概念验证代码流传，未经身份验证的缺陷会迅速被扫描和武器化。.

技术摘要（漏洞是什么以及如何发生）

该插件暴露了一个可以在没有适当授权的情况下调用的 delete_files() 例程。安全设计期望验证调用者已通过身份验证并具有相关能力（例如，结合 nonce 验证的 current_user_can() 检查）。在这种情况下，delete_files() 处理 HTTP 提供的输入并执行文件删除，而不强制执行此类检查。.

后果：

• 攻击者可以构造 HTTP 请求，删除网络进程可访问的文件。.
• 被删除的文件可能会破坏网站功能、删除媒体或更改网站以隐藏进一步的妥协。.
• 根据托管和权限，影响范围可能扩展到共享托管上的其他网站。.

注意：CVE 标识符：CVE-2025-7778。.

利用场景和攻击者目标

使用此漏洞的典型攻击者目标：

1. 立即拒绝服务 — 删除核心/插件/主题文件使网站崩溃。.
2. 消灭痕迹 — 删除日志或备份以复杂化取证调查。.
3. 准备后续攻击 — 删除特定文件以便替换为 web shell 或后门（如果后续可以上传文件）。.
4. 敲诈 — 威胁永久删除数据，除非支付。.
5. 针对性破坏 — 通过删除内容或配置来干扰组织。.

如何快速检查您的网站是否受到影响

1. 插件清单：在 wp-admin → 插件 → 已安装插件中，查找“Icons Factory”并检查版本 — 易受攻击的版本为 ≤ 1.6.12。.
2. 查找缺失或最近删除的文件：将插件目录与来自可信来源的新副本进行比较；调查可疑的时间戳或缺失的文件。.
3. Web 服务器日志：搜索访问和错误日志中对 admin-ajax.php 或特定插件端点的可疑 POST 请求。查找参数，如 delete、remove、file、path 或直接文件路径。.
4. 文件系统检查：检查 wp-content/uploads、插件和主题目录中被删除或更改的文件。.
5. 检查异常用户更改：虽然删除不会创建用户，但后续活动可能会添加管理员账户 — 验证用户和角色。.

如果您确认删除并且无法解释，视网站为潜在被攻破，并遵循以下事件响应步骤。.

立即修复步骤（现在就做）

1. 将网站置于维护模式，以减少自动扫描和利用。.
2. 禁用易受攻击的插件：
   • 从 wp-admin → 插件中，停用 Icons Factory。.
   • 如果 wp-admin 无法访问，通过 SFTP/SSH 重命名插件目录（例如，wp-content/plugins/icons-factory → icons-factory.disabled）。.
3. 从已知良好的备份中恢复缺失的文件。如果您怀疑备份的完整性，请保留当前证据并寻求专业取证帮助。.
4. 更换凭据：重置 WordPress 管理员密码、数据库凭据以及插件或主题使用的任何 API 密钥。.
5. 更新所有内容：在确保备份干净后，更新 WordPress 核心、主题和其他插件。在可用的经过验证的供应商补丁之前，不要重新启用插件。.
6. 如果尚未提供供应商补丁：应用 WAF 虚拟补丁（请参见下面的 WAF 部分）和/或永久删除插件，并在必要时迁移功能。.
7. 扫描恶意软件和持久性：寻找网络壳、意外的PHP文件、攻击者添加的cronjobs或计划钩子。.
8. 联系您的主机以获取服务器级日志和可能的快照恢复。.
9. 审查并收紧文件系统权限，以便网络用户无法不必要地删除核心文件。.

如果您确认替换文件、数据外泄或其他更深层次妥协的指标，请升级到专业的事件响应团队。.

检测：在日志和文件系统中要查找的内容

• 访问日志：对admin-ajax.php或包含文件路径参数的插件端点的重复POST请求；不寻常的用户代理或空的引用者。.
• 错误日志：关于缺失包含或require_once失败的PHP警告/错误，引用插件或核心文件。.
• 文件系统：插件/主题文件夹中缺失的PHP文件，wp-content/uploads下被删除或为空的文件，意外的修改时间。.
• 数据库：选项中意外的更改或新的管理员用户。.
• 备份：备份中存在但在生产中缺失的文件。.

妥协指标（IOCs）

• 带有引用文件路径的参数的请求（../序列或绝对路径）。.
• 对admin-ajax.php或/wp-content/plugins/icons-factory/下的端点的POST激增。.
• 在可疑请求后立即出现的500/503错误和缺失包含错误的PHP日志。.
• 备份中存在但在生产系统中缺失的文件。.

虚拟补丁和WAF保护（推荐规则和逻辑）

在等待官方供应商补丁时，WAF可以减轻攻击尝试。以下是您可以适应于WAF的概念防御规则和ModSecurity风格的示例。.

WAF策略（概念）：

• 阻止未经身份验证的请求，试图调用插件中的文件删除例程。.
• 在可能的情况下，要求验证WordPress非ces在管理员端POST中的存在/有效性。.
• 阻止尝试文件操作的 admin-ajax 调用，除非它们来自具有适当权限的经过身份验证的会话。.
• 对可疑的 POST 请求进行速率限制，并阻止重复违规者。.

伪规则逻辑：

如果 HTTP 方法是 POST 到 admin-ajax.php 或插件端点，并且请求体包含与删除操作匹配的参数（例如，删除、移除、文件、路径），并且没有 wordpress_logged_in_* cookie 存在，并且没有有效的 nonce 存在，则阻止并记录请求。.

示例 ModSecurity 风格规则（清理并适应您的环境）：

SecRule REQUEST_METHOD "POST" "chain,phase:2,deny,log,id:100001,msg:'阻止潜在的 Icons Factory delete_files 利用 - 未经身份验证的请求'"

注意：参数名称可能会有所不同。首先以日志模式开始以减少误报，然后对确认的恶意模式进行阻止。.

安全规则示例和实用提示

1. 对文件操作端点要求身份验证：仅允许带有 WP 身份验证 cookie 的请求到达执行文件操作的端点。.
2. Nonce 强制执行：阻止缺少预期 nonce 参数（例如，_wpnonce）或具有无效 nonce 的 POST 请求。.
3. 限制文件路径模式：阻止包含 ../ 序列、绝对路径或引用关键文件（wp-config.php，.htaccess）的请求。.
4. 基于正则表达式的有效负载阻止：检测并阻止未经身份验证的请求中的文件路径模式，例如 /wp-content/uploads/.*|(\.\./)+|[A-Za-z]:\\。.

首先在暂存环境中测试 WAF 规则，并监控日志以减少误报。.

加固建议以减少此类漏洞的影响

• 最小权限原则：设置文件所有权和权限，以防止网络进程删除核心文件。.
• 禁用插件和主题编辑器：在 wp-config.php 中添加 define(‘DISALLOW_FILE_EDIT’, true);。.
• 维护频繁的异地备份，并保留足够的保留期以回滚到干净状态。.
• 对管理账户实施强大的管理员控制和多因素身份验证。.
• 限制插件来源：仅从信誉良好的来源安装，并维护已安装插件及其版本的清单。.
• 使用 FIM（文件完整性监控）监控文件完整性，并在删除或意外更改时触发警报。.
• 在预发布和生产环境中进行定期安全审计和扫描。.
• 加固 PHP 和服务器设置：限制潜在危险的函数，并在适当的地方设置 open_basedir。.

事件响应手册（当怀疑被攻陷时的逐步操作）

1. 隔离：将网站置于维护模式并阻止可疑 IP。.
2. 保留证据：快照文件系统和数据库；不要覆盖日志。.
3. 分类：识别被删除的文件，与日志关联，确定初始入口点。.
4. 恢复：从攻击前的干净备份中恢复；在恢复前扫描备份。.
5. 修复：禁用易受攻击的插件，应用 WAF 规则，轮换凭据，并修补其他漏洞。.
6. 如有必要，重建：如果怀疑存在持久后门，从干净源重建并选择性恢复经过验证的内容。.
7. 事件后审查：进行根本原因分析并实施控制措施以防止再次发生。.
8. 沟通：根据政策要求通知利益相关者、客户或监管机构。.

恢复和测试

• 从备份恢复并应用缓解措施后，进行全面的安全扫描和完整性检查。.
• 在恢复公共访问之前，测试网站功能，特别是依赖插件的区域。.
• 验证 WAF 日志是否阻止恶意尝试，并相应调整规则。.
• 在恢复后密切监控几天，以寻找后续活动的迹象。.

为什么这个漏洞对 WordPress 网站特别危险

• WordPress 安装通常使用许多质量不一的第三方插件——一个未经身份验证的漏洞可能被广泛利用。.
• 共享主机权限模型可能会加剧文件删除漏洞造成的损害。.
• 删除是无声且立即的——攻击者可以在不留下典型 RCE 攻击痕迹的情况下造成损害。.

常见问题

Q: 如果我禁用插件，已删除的文件会恢复吗？

不会。禁用插件可以防止进一步的利用，但不会恢复已删除的文件。请从备份中恢复或进行手动恢复。.

Q: 文件删除可以从服务器垃圾箱或临时存储中恢复吗？

通常不能。网络服务器通常会立即删除文件。一些控制面板或主机提供快照或垃圾箱功能——请及时联系您的主机。.

Q: 当供应商发布补丁时，我应该重新启用插件吗？

只有在验证供应商的补丁正确执行授权检查和随机数验证后。请在重新启用生产环境之前在测试环境中测试补丁。如果供应商响应不佳，请考虑完全移除插件并迁移功能。.

管理员应实施的长期防御

• 实施插件生命周期政策：审核、清点、更新和移除未使用的插件。.
• 使用基于角色的访问控制，并最小化管理员账户的数量。.
• 将部署和安全操作的职责分开。.
• 在开发管道中集成安全测试，并运行依赖检查以检测易受攻击的插件版本。.
• 安排漏洞监控，并准备虚拟补丁能力以快速响应。.

最后思考——来自香港安全专家的说明

任意文件删除具有欺骗性的破坏性：它不需要特权提升，其影响可能是立即且代价高昂的。从香港及其他高密度托管市场的从业者角度来看，速度至关重要。快速检测、隔离和缓解以减少损害窗口。.

应用分层防御：严格备份、最小权限、监控和基于WAF的虚拟补丁，同时等待供应商修复。如果您管理多个站点，请优先考虑清点和快速缓解暴露AJAX或文件处理端点的插件。.

如果您不确定您的网站是否受到影响或需要协助调查可疑活动，请联系可信的安全专业人士或您的托管提供商以获得取证支持。.

— 香港安全专家