Добрый вечер уважаемые читатели блога pyatilistnik.info, сегодня я расскажу что в самом популярном, бесплатном CMS WordPress 3 обнаружена серьезная уязвимость системы безопасности. Компания Klikki Oy нашла данную уязвимость в версии WordPress 3, которая может использоваться для запуска разного рода вредоносных атак на основе скриптов. Если обратиться к статистике ее распространения, уязвимость затрагивает 86% сайтов на движке WordPress.
Уязвимость позволяет создавать в блогах комментарии с вредоносным кодом на JavaScript. Если сайты разрешают писать комментарии без аутентификации, а это настройка по умолчанию в WordPress, то вставить такой код, нацеленный на посетителей или администраторов сайта, сможет любой желающий. В продемонстрированной специалистами Klikki Oy атаке они сумели получить доступ к установленной сессии администратора и создать новый административный аккаунт, изменив текущий пароль администратора и запустив на сервере вредоносный PHP-код.
Созданный исследователями эксплоит устраняет все следы скрипта из базы данных, далее выполняет административные задачи, вроде смены пароля пользователя, добавления нового администратора, использования редактора плагинов для написания PHP-кода на сервере. Пользователь при этом не видит никаких следов данной активности. После написания кода PHP AJAX-запрос позволяет немедленно выполнить его и получить доступ к операционной системе на сервере.
В вышедшей в сентябре версии WordPress 4.0 данная уязвимость отсутствует.
Что было в WordPress 5 и выше
WordPress - это одна из самых популярных платформ для создания сайтов и блогов в мире. Эта платформа используется миллионами людей по всему миру, в том числе и крупными компаниями. Однако, несмотря на ее популярность, WordPress часто становится объектом атак со стороны хакеров и киберпреступников. В этой статье мы рассмотрим последние серьезные уязвимости WordPress.
✅1. Уязвимость в плагине WP GDPR Compliance - В 2018 году была обнаружена уязвимость в плагине WP GDPR Compliance, который использовался для обеспечения соблюдения правил GDPR (General Data Protection Regulation) на сайтах WordPress. Уязвимость заключалась в том, что злоумышленники могли получить доступ к базе данных сайта и получить конфиденциальную информацию о пользователях, такую как их имена, адреса электронной почты и т. д.
✅2. Уязвимость в плагине Yoast SEO - В 2015 году была обнаружена уязвимость в плагине Yoast SEO, который является одним из самых популярных плагинов для оптимизации поисковой системы на сайтах WordPress. Уязвимость заключалась в том, что злоумышленники могли получить доступ к административной панели сайта и изменять содержимое страниц.
✅3. Уязвимость в плагине WPForms - В 2020 году была обнаружена уязвимость в плагине WPForms, который используется для создания форм на сайтах WordPress. Уязвимость заключалась в том, что злоумышленники могли получить доступ к базе данных сайта и получить конфиденциальную информацию о пользователях, такую как их имена, адреса электронной почты и т. д.
✅4. Уязвимость в плагине WooCommerce - В 2021 году была обнаружена уязвимость в плагине WooCommerce, который используется для создания интернет-магазинов на сайтах WordPress. Уязвимость заключалась в том, что злоумышленники могли получить доступ к базе данных сайта и получить конфиденциальную информацию о пользователях, такую как их имена, адреса электронной почты и т. д.
✅5. Уязвимость в ядре WordPress - В 2021 году была обнаружена уязвимость в ядре WordPress, которая позволяла злоумышленникам выполнять произвольный код на сайте. Уязвимость была связана с недостаточной проверкой пользовательского ввода при использовании функции add_query_arg().
В заключение, уязвимости WordPress являются серьезной проблемой для всех пользователей этой платформы. Чтобы защитить свой сайт от атак со стороны хакеров и киберпреступников, необходимо регулярно обновлять все плагины и ядро WordPress до последней версии, использовать надежные пароли и защитные меры, такие как двухфакторная аутентификация. Также стоит регулярно проверять свой сайт на наличие уязвимостей с помощью специальных инструментов.