WordPress принудительно устанавливает патч Jetpack на 5 миллионов сайтов
WordPress принудительно устанавливает патч Jetpack на 5 миллионов сайтов. Фото: из архива компании
Jetpack—чрезвычайно популярный подключаемый модуль, который обеспечивает бесплатные улучшения безопасности, производительности и управления веб-сайтом, включая резервное копирование сайта, защиту от атак методом грубой силы, безопасный вход в систему, сканирование вредоносных программ и многое другое.
Согласно официальному репозиторию плагинов WordPress, ПО поддерживается Automattic, и сейчас у него более 5 млн активных установок.
Из сообщения инженера Automatic по связям с разработчиками Джереми Эрве:
«Во время внутреннего аудита безопасности мы обнаружили уязвимость в API, доступном в Jetpack, начиная с версии 2.0, выпущенной в 2012 году. Эта уязвимость может быть использована авторами сайта для манипулирования любыми файлами в установке WordPress».
Jetpack 12.1.1, исправление безопасности, которое в настоящее время автоматически распространяется на все веб-сайты WordPress, использующие плагин, началось и уже установлено на более чем 4, 13 млн сайтов , использующих каждую версию Jetpack, начиная с 2.0.
Это означает, что большинство уязвимых веб-сайтов уже автоматически обновлены до последней защищенной версии, а остальные скоро будут исправлены.
Эрве также предупредил администраторов веб-сайтов, что, хотя признаков того, что ошибка использовалась в атаках, нет, они должны убедиться, что их сайты защищены, поскольку злоумышленники, скорее всего, узнают подробности уязвимости и создадут эксплойты, нацеленные на неисправленные веб-сайты WordPress.
Из сообщения инженера Automatic по связям с разработчиками Джереми Эрве:
«У нас нет доказательств того, что эта уязвимость использовалась в реальных условиях. Однако теперь, когда обновление выпущено, возможно, кто-то попытается воспользоваться этой уязвимостью. Пожалуйста, обновите свою версию Jetpack как можно скорее, чтобы обеспечить безопасность вашего сайта. Чтобы помочь вам в этом процессе, мы тесно сотрудничали с командой безопасности WordPress.org, чтобы выпускать исправленные версии каждой версии Jetpack, начиная с 2.0. Большинство веб-сайты были или скоро будут автоматически обновлены до защищенной версии».
Это не первый раз, когда Automattic использует автоматическое развертывание обновлений безопасности для устранения критических проблем в плагинах или установках WordPress.
Например, разработчик WordPress Сэмюэл Вуд заявил в октябре 2020 года , что команда Automattic использовала этот подход для выпуска «выпусков безопасности для подключаемых модулей много раз» с момента выпуска WordPress 3.7.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.
Статьи по теме
Комментариев пока не было