我最近扫描了我的Wordpress网站，使用6scan\'的安全扫描服务。它报告了一个高度严重的漏洞：“Wordpress评论发布伪造”。

6scan的技术细节：

6scan报告称“中的CSRF漏洞允许恶意用户伪造帖子”。它说受影响的URL是/wp评论帖子。php。

当我单击6scan报告的链接了解更多技术细节时，它会指示我this page, 这是一个通用页面，涉及零日漏洞（即向Wordpress团队披露但尚未公开的漏洞）。然而，该页面自2012年7月17日（近一年前）以来一直没有更新，也没有具体提及CSRF漏洞。

6scan报告还提出了一种手动解决问题的方法：建议手动编辑wp评论帖子。php添加一些基本检查以确保$_SERVER[ "HTTP_REFERER" ] 匹配项$_SERVER[ "HTTP_HOST" ].

我正在运行Wordpress 3.5.1（目前是最新版本）。Wordpress真的容易受到“评论发布伪造”漏洞的攻击吗？或者6scan报告是假的？

我知道旧版本的Wordpress有一些CSRF漏洞，但我相信这些漏洞已经修复。就个人而言，我觉得漏洞的说法相当可疑——但我想我会与其他人核实一下。