Сотни тысяч сайтов WordPress находятся под угрозой взлома
Плагин, о котором идёт речь, называется WordPress Download Manager, и по данным WordPress.org, он был установлен более чем на 100 тыс. сайтов.
Первую уязвимость можно использовать для аутентифицированного обхода каталогов в соответствии с Wordfence. Хотя в WordPress Download Manager были некоторые средства защиты от обхода каталогов, их было далеко не достаточно. В результате злоумышленник мог получить содержимое файла wp-config.php сайта, добавив новую загрузку и выполнить атаку.
До того, как Wordfence обнаружил эти две уязвимости, команда диспетчера загрузок WordPress исправила уязвимость, которая позволяла пользователям загружать файлы с расширениями php4, а также другие потенциально исполняемые файлы.
Хотя этот патч защищал многие конфигурации, он проверял только самое последнее расширение файла, что позволяло злоумышленнику провести атаку «двойного расширения», загрузив файл с несколькими расширениями, например info.php.png.
Команда Wordfence Threat Intelligence ответственно раскрыла свои выводы команде WordPress Download Manager в начале мая, а разработчик плагина выпустил исправленную версию плагина на следующий день.
Тем не менее, если вы являетесь владельцем сайта WordPress, который использует плагин, настоятельно рекомендуется немедленно обновить его до последней версии, чтобы не стать жертвой любых атак, использующих эти две исправленные уязвимости.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.
Статьи по теме
Комментариев пока не было