MonsterInsights 官网近期遭遇黑客攻击,导致官网宕机并向客户发送钓鱼邮件。作为 WordPress 生态中装机量最高的分析插件之一,此次事件影响范围广泛,值得关注。
MonsterInsights 是什么
MonsterInsights 是一款 WordPress 插件,在超过 200 万个网站上安装(付费版合计约 300 万站点)。其核心功能是将 Google Analytics(GA)账户与 WordPress 后台打通,为站长提供网站流量数据仪表盘,并简化 GA 复杂追踪功能的配置。此外该插件还提供面向电商场景的 Pro 增强版本。
钓鱼邮件事件经过
有用户反映收到伪装成 MonsterInsights 发送的钓鱼邮件。多位用户在 Facebook 和 X(原 Twitter)上发帖确认了这一情况。
一位用户在 X 上发帖称自己收到了钓鱼邮件,并尝试通过官网联系表单举报,但收到 403 报错;另一位用户则建议官方尽快通过邮件直接联系客户,因为"攻击者似乎已经拿到了客户名单"。
目前 MonsterInsights 官网已下线,首页已替换为以下公告:
“我们的网站正在应对攻击而离线。您的分析功能和追踪不受影响。 请勿从任何第三方网站下载 MonsterInsights,当前已确认存在钓鱼攻击。 如有疑问,请联系 moc.sthgisniretsnom@troppus”
官方声明与安全建议
MonsterInsights 已在 X 平台发布声明,警告用户不要从非官方渠道下载或安装插件,确认钓鱼邮件确实为攻击者所为。
“我们正在应对攻击——请勿从任何第三方网站安装 MonsterInsights,当前已确认存在钓鱼攻击。”
安全建议:
- 仅从 WordPress 官方插件目录或 MonsterInsights 官网(恢复后)下载插件
- 不要点击可疑邮件中的链接,尤其是要求输入账户凭据的邮件
- 如已收到钓鱼邮件,不要点击任何附件或按钮,直接忽略即可
