Один миллион сайтов WordPress под угрозой атаки

Исследователи кибербезопасности помогли исправить несколько уязвимостей в чрезвычайно популярном плагине WordPress , который мог быть использован любым посетителем для выполнения ряда действий против затронутых для кражи конфидента.

Один миллион сайтов WordPress под угрозой атаки. Фото: Tima Miroshnichenko, Pexels

Уязвимости, обнаруженные экспертами по безопасности WordPress Wordfence, существовали в плагине OptinMonster, который может похвастаться пользовательской базой из более чем миллиона веб-сайтов.

OptinMonster помогает создавать кампании продаж на веб-сайтах WordPress с помощью диалогов. В Wordfence объясняют, что подавляющее большинство функций плагина, а также сайта приложения OptinMonster полагаются на использование конечных точек API.

Из сообщения Хлои Чемберленд аналитик угроз Wordfence:

«К сожалению, большинство конечных точек REST-API были реализованы небезопасно, что позволило злоумышленникам, не прошедшим проверку подлинности, получить доступ ко многим различным конечным точкам на сайтах, на которых запущена уязвимая версия подключаемого модуля»

Чемберленд отмечает, что одна из уязвимых конечных точек могла быть использована для кражи конфиденциальных данных, таких как полный путь к сайту на сервере, а также ключ API, который веб-сайт использует для выполнения запросов на сайте OptinMonster.

Из сообщения Хлои Чемберленд аналитик угроз Wordfence:

«Имея доступ к ключу API, злоумышленник может вносить изменения в любую кампанию, связанную с учетной записью OptinMonster, подключенной к сайту, и добавлять вредоносный код JavaScript, который будет выполняться каждый раз, когда кампания отображается на взломанном сайте»

У исследователя вызывает тревогу то, что уязвимость могла быть использована любым посетителем веб-сайта.

Разработчик плагина аннулировал все ключи API, чтобы пользователи создали новые. Найденные уязвимости устранены.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.