安全公司 Wordfence 日前發現有黑客冒充 WordPress 官方名義，向網站站長寄送釣魚郵件，聲稱檢測到網站存在漏洞，有可能讓黑客遠程執行代碼，要求站長使用郵件附帶的 CVE-2023-45124 補丁鏈接“修復網站漏洞”。

　　不過黑客附帶的鏈接，實際上指向黑客自己架設的釣魚網站，若受害者未驗證相關信息的真實性，直接點擊網頁鏈接，就會進入到一個山寨 WordPress 網站“en-gb-wordpress [.] org”。

　　IT之家從官方新聞稿中獲悉，在受害者安裝相關“釣魚補丁”后，其中包含的惡意軟件就會在網站后臺中新增隱藏惡意管理員賬號 wpsecuritypatch，并將網站 URL 及密碼打包回傳至黑客服務器，之后在網站植入后門程序 wpgate [.] zip，令黑客能夠持續控制受害者網站。

　　值得注意的是，安全研究人員發現，黑客為了取信受害者，在釣魚網站的留言區添加了多條虛假評論，并將安全公司 Automattic 的部分程序員列為開發人員。