WordPress: рассадник уязвимостей

0
588

WordPress и Joomla – это две самых популярных бесплатных системы управления контентом. Огромное число сайтов в интернете созданы именно на этих CMS. Они необычайно просты и легко изменяемы под себя, имеют большое количество устанавливаемых плагинов. Вроде бы все хорошо, но и здесь есть неприятный момент: популярность приводит к пристальному вниманию нерадивых пользователей, которые хотят получить какую-либо выгоду от чужих сайтов. Поэтому все чаще наш любимый WordPress становится рассадником заразы, то есть уязвимостей. Вернее сказать, не сам WordPress, а плагины, которых с каждым днём появляется всё больше.

 

WordPress уязвимость
WordPress уязвимость

Не стал исключением и этот год, новостей о багах и взломах появляется, как никогда много. Интересно, что взламывают не сам WordPress, а плагины. Но не так давно случился один неприятный момент. Хакер из Финляндии обнаружил критическую уязвимость в самой системе (система публикации комментариев). Такая система используется на большинстве современных сайтов, поэтому эта уязвимость наиболее опасна. Суть проблемы в следующем: при опубликовании комментария в 64 тыс. символов появляется баг, который ведёт к исполнению чужеродного кода с этой страницы. Этот странный код будет выполняться при посещении каждым пользователем страницы с комментариями. WordPress Foundation оперативно отреагировали на появление уязвимости и сразу же выпустили патч. Интересно, закроет ли он уязвимость на все 100%.

Уязвимость в WordPress

Но не только одна уязвимость «порадовала» пользователей самой популярной CMS. На этот раз это традиционный баг, обнаруженный в плагине. Забавно то, что это популярнейший плагин WP-Super-Cache, который применяется на большинстве сайтов. Напомним, что задачей плагина является генерация статических файлов HTML из современных динамических блогов. Этот плагин оказался уязвимым к межсайтовому скриптингу, более известному как XSS. Найденная уязвимость позволяет хакеру разместить сторонний код на странице с помощью этого плагина. Опять же, разработчик плагина залатал дыру, но Sucuri присвоила этой уязвимости достаточно высокий уровень опасности – 8 из 10 возможных баллов.

Но это ещё не самое интересное. В работу множества сайтов вмешалась ФБР, вернее, предупредила, что одна из хакерских групп, которая причисляет себя к исламскому государству, собирается устраивать массовые атаки на WordPress-сайты. Особенно это опасно для владельцев, которые используют плагины типа FancyBox, MailPoet и RevSlider. Единственное, что может помочь в этой ситуации – использование плагинов последних версий. Так что ни забывайте обновлять плагины на вашем сайте.

 

Хотите при работу так же слушать музыку, приобретайте колонки beats pill white, звук у них четкий. Помимо этого эстетический внешний вид.