- Apple выпустит AirTag 2 в следующем году —... (15)
- Мощный иттербиевый лазер— новый инструмент... (15)
- Новое открытие ATLAS в ЦЕРНе: впервые... (23)
- Apple снова раздумывает над выпуском... (24)
- Созданы компактные металинзы с ИИ-коррекцией... (25)
- GeForce RTX 4090 способна запускать... (25)
- Создан первый механический... (24)
- Спутниковый SpaceX Starlink задействовали в... (24)
- Новейший кроссовер Geely с мотором от... (55)
- Новый материал демонстрирует свойства... (59)
- Крупный китайский производитель видеокарт... (53)
- Вспышки давления при замерзании: ключ к... (53)
- Чтобы успеть до анонса GeFore RTX 50. Новые... (88)
- Всё чаще люди принимают спутники SpaceX... (86)
- Водитель мусоровоза нашёл в мусоре компьютер... (85)
- Стоит ли обновляться на MacBook на SoC M4... (84)
84% сайтов на движке WordPress могут быть взломаны
Дата: 2014-11-28 17:10
Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.
После получения прав администратора злоумышленник может запускать свои коды на сервере, где хостится атакованный блог - то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.
Представители Klikki Oy сообщили об уязвимости вендору 26 сентября. На текущий момент, через два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.
На самом деле жертв будет меньше, потому что есть небольшое дополнительное условие для эксплуатации - нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости - следить за статистикой обновления WordPress в реальном времени можно здесь.
На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми - но если у вас старый WordPress, стоит все-таки обновиться.
КомментироватьПодробнее на iXBT
Предыдущие новости
Apple поделилась деталями о функциях «умных» часов Watch
Компания Apple без громких анонсов обновила на своём сайте страницу, посвящённую
«Ведьмак: Приключенческая игра» поступила в продажу
В продажу поступила карточная игра от компании CD Projekt RED под названием "Ведьмак: Приключенческая игра". Игра продается в коробочном и цифровом виде, представляет из себя карточную игру по мотивам оригинального...
Акции Alibaba будут доступны инвесторам в России
Президент НП РТС Роман Горюнов пообещал допустить к торгам акции Alibaba 15 декабря. Он напомнил, что бумаги этой компании после IPO подорожали в два раза, и надеется, что на ней смогут заработать розничные российские...
В компании Lamoda не знают причин обыска в московском офисе
Lamoda заявила, что не знает о причинах проверки правоохранительных органов в московском офисе компании. Российский интернет-магазин ведёт честную, открытую политику и стремится предоставить лучший уровень сервиса по всей России, сказали в компании агентству...