WordPress 外掛 WP Maps Pro 重大權限提升漏洞遭實際攻擊

資安公司 Wordfence 發布警告，指出用於在網站嵌入自定 Google 地圖的 WordPress 外掛程式 WP Maps Pro 存在嚴重的權限提升漏洞 CVE-2026-8732。攻擊者一旦利用該漏洞，就能在受害網站建立不需通過密碼等驗證身分程序的管理員帳號，進而全面接管整個 WordPress 網站。

WP Maps Pro 是 WordPress 外掛市場中被廣泛使用的地圖工具之一，特別受到房地產、餐飲、旅遊等需要在網站顯示位置資訊的中小企業歡迎。由於 WordPress 全球網站市佔率超過 40%，任何流行外掛的漏洞都可能影響大量網站。Wordfence 的警告意味著，全球可能有數萬甚至數十萬個網站正暴露於這項風險中。

從技術細節觀察，CVE-2026-8732 屬於典型的權限提升漏洞，攻擊者可透過向外掛特定 API endpoint 發送惡意請求，繞過 WordPress 的標準身分驗證流程，直接在後端資料庫中建立具有 administrator 等級權限的新使用者。一旦帳號建立成功，攻擊者即可登入 WordPress 後台，安裝惡意外掛、修改網站內容、植入 SEO 垃圾連結、竊取會員資料等。

從攻擊現況看，Wordfence 已偵測到實際攻擊活動，意味著漏洞利用代碼可能已在地下市場流通，攻擊者正在大規模掃描網路上未修補的 WP Maps Pro 安裝。網站管理員應立即採取三項行動：第一，檢查目前 WP Maps Pro 版本並更新至最新修補版；第二，檢視管理員帳號清單，移除任何可疑或不熟悉的帳號；第三，啟用網站防火牆與雙因素驗證，降低後續攻擊風險。

從產業面看，這次事件再次凸顯 WordPress 生態的安全治理挑戰。儘管核心 WordPress 程式碼具備相對成熟的安全機制，但第三方外掛品質參差不齊，往往成為攻擊者的優先目標。企業使用 WordPress 時應建立完善的外掛審核與更新流程。