駭客正在利用用戶註冊和會員外掛程式中的一個嚴重漏洞，該外掛程式安裝在超過 60,000 個 WordPress 網站上。該外掛程式由 WPEverest 開發，提供會員和用戶註冊管理功能，包括自訂表單、與 PayPal 和 Stripe 的付款整合、銀行轉帳和分析。

此安全漏洞編號為 CVE-2026-1492，嚴重程度評級為 9.8。由於該外掛程式在會員註冊期間接受用戶提供的角色，因此駭客無需身份驗證即可建立管理員帳戶。

管理員帳戶擁有對網站的完全存取權限，需要管理員帳戶才能安裝外掛程式和主題、編輯 PHP 程式碼、更改安全設定、修改網站內容以及鎖定合法所有者或管理員。擁有這種級別存取權限的攻擊者可以竊取數據，例如註冊用戶資料庫，並嵌入惡意程式碼以向訪客傳播惡意軟體。

WordPress 安全公司 Defiant（Wordfence 安全外掛程式的製造商）的研究人員 在過去 24 小時內阻止了200 多次在客戶環境中利用 CVE-2026-1492 漏洞的嘗試。此漏洞影響用戶註冊與會員插件 5.1.2 及更早版本。開發者已在插件 5.1.3 版本中修復了此漏洞。建議網站管理員更新至外掛程式最新版本，即上週發布的 5.1.4 版本。如果無法更新，建議暫時停用或卸載該插件。

資料來源：https://www.bleepingcomputer.com/news/security/wordpress-membership-plugin-bug-exploited-to-create-admin-accounts/