IT之家注:W3 Total Cache 是个主流 WordPress 缓存插件,全球站点装机量超过 100 万,近期爆发严重安全危机(CVE-2025-9501),根源在于插件处理动态内容的机制。
W3 Total Cache 的 _parse_dynamic_mfunc 函数使用 PHP 的 eval 函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率,但也为黑客留下了后门,只要攻击者能在评论中注入特定代码,插件就会将其视为合法指令并直接执行。
尽管漏洞利用极其简单,但攻击者仍需满足三个特定条件:
- 首先,必须获取管理员配置的 W3TC_DYNAMIC_SECURITY 安全令牌(通常为一串秘密字符串);
- 其次,网站必须允许未登录用户发布评论;
- 最后,页面缓存功能必须处于开启状态。
鉴于补丁屡修屡破的现状,单纯依赖更新已不足以确保安全。安全专家建议,管理员在升级至最新版本的同时,必须立即审计 W3TC_DYNAMIC_SECURITY 常量的唯一性,确保其未被泄露。
此外,该安全公司建议暂时限制未验证用户的评论权限,并重点审查 2025 年 10 月以来的评论日志,排查是否存在异常代码注入痕迹。
