Новость из категории: Информация, WordPress

Многочисленные дыры Wordpress

Многочисленные дыры Wordpress

Бесплатные системы управления контентом, такие как Joomla и WordPress, недаром так любимы пользователями (на WordPress, по данным W3Tech, работает 23,9% всех сайтов мира). Они просты и кастомизируемы — для них существует невероятное количество плагинов на любой вкус. Однако у этой медали есть и обратная сторона — любимые публикой CMS таят в себе множество уязвимостей. Справедливости ради замечу, что в основном дырки находят именно в плагинах, но из-за них считать данные CMS безопасными можно с большой натяжкой.

В этом месяце WordPress особенно не везет: новости о новых багах и взломах появляются одна за другой. Чаще всего ломают не сам движок, а разнообразные плагины к нему, однако недавно встретилось неприятное исключение из этого правила. Критическую уязвимость во встроенной системе публикации комментариев WordPress 4.2 и ниже, которую использует множество сайтов, обнаружил финский хакер Йоуко Пюннёнен из компании Klikki Oy. Пюннёнен узнал, что, если опубликовать достаточно длинный комментарий (64 тысячи символов), можно спровоцировать баг, который приводит к исполнению постороннего кода с данной HTML-страницы. Код будет выполнен для каждого посетителя, зашедшего на страницу с комментарием, в том числе на компьютере администратора системы. Пример комментария:
<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>

В WordPress Foundation оперативно выпустили патч, но все мы знаем, как «часто» обновляются сайты на бесплатных CMS.



Многочисленные дыры Wordpress

Еще одна уязвимость, обнаруженная в этом месяце, так сказать, более традиционна. На этот раз виноват плагин WP-Super-Cache, чья задача — генерировать статические файлы HTML из динамических блогов. Плагин оказался уязвим к межсайтовому скриптингу (XSS). Обнаруженный баг позволяет атакующей стороне внедрить вредоносный код в страницы, создаваемые с помощью этого расширения. Хотя разработчики плагина уже устранили дыру, компания Sucuri присвоила уязвимости высокий уровень опасности: 8 из 10 баллов. Дело в том, что плагин используется почти миллионом сайтов.

Настоящей вишенкой на торте этой череды багов стало официальное предупреждение от ФБР. Бюро проинформировало, что хакерская группа, причисляющая себя к Исламскому государству, устраивает массовые атаки на сайты под управлением WordPress, в основном через уязвимости в темах оформления и старые версии плагинов RevSlider, Gravity Forms, FancyBox, WP Symposium и MailPoet. WordPress Foundation в этой связи еще раз призвала администраторов сайтов пользоваться актуальными версиями плагинов и вообще не забывать о своевременных обновлениях.


Вы не вебмастер, а профессиональный музыкант, поэтому вас гораздо больше интересуют не дыры в Wordpress, а высококачественное музыкальное оборудование (http://www.dj-store.ru). Именно поэтому я настоятельно советую вам заглянуть на страницы магазина dj-store.ru. Здесь вы сможете приобрести гитары, микрофоны, ударные установки и другое брендовое оборудование на максимально выгодных для себя условиях.

Рейтинг статьи

Оценка
3/5
голосов: 2
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

Добрый вечер! Нужен совет знатока в ВордПресс.
Что скажите о этом плагине TORPAGE?
https://www.youtube.com/watch?v=gj1mlRcyFDY
Стоит устанавливать его или нет?
^ Наверх