Один миллион сайтов WordPress под угрозой атаки
Уязвимости, обнаруженные экспертами по безопасности WordPress Wordfence, существовали в плагине OptinMonster, который может похвастаться пользовательской базой из более чем миллиона веб-сайтов.
OptinMonster помогает создавать кампании продаж на веб-сайтах WordPress с помощью диалогов. В Wordfence объясняют, что подавляющее большинство функций плагина, а также сайта приложения OptinMonster полагаются на использование конечных точек API.
Из сообщения Хлои Чемберленд аналитик угроз Wordfence:
«К сожалению, большинство конечных точек REST-API были реализованы небезопасно, что позволило злоумышленникам, не прошедшим проверку подлинности, получить доступ ко многим различным конечным точкам на сайтах, на которых запущена уязвимая версия подключаемого модуля»
Чемберленд отмечает, что одна из уязвимых конечных точек могла быть использована для кражи конфиденциальных данных, таких как полный путь к сайту на сервере, а также ключ API, который веб-сайт использует для выполнения запросов на сайте OptinMonster.
Из сообщения Хлои Чемберленд аналитик угроз Wordfence:
«Имея доступ к ключу API, злоумышленник может вносить изменения в любую кампанию, связанную с учетной записью OptinMonster, подключенной к сайту, и добавлять вредоносный код JavaScript, который будет выполняться каждый раз, когда кампания отображается на взломанном сайте»
У исследователя вызывает тревогу то, что уязвимость могла быть использована любым посетителем веб-сайта.
Разработчик плагина аннулировал все ключи API, чтобы пользователи создали новые. Найденные уязвимости устранены.
Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.
Статьи по теме
Комментариев пока не было