- Глава Volkswagen: «Десятилетия структурных... (931)
- Дилер привёз в Россию Ferrari 296 GTS 2024... (916)
- Windows 11 закрепилась как самая популярная... (927)
- Представлен Toyota Grand Highlander 2025 с... (855)
- Supermicro смогла договориться с банком... (840)
- Bentley планирует выпустить «более... (813)
- «Самый мощный Huawei Mate в истории», Huawei... (784)
- Ferrari Roma Spider 2024 едет в Россию. Цена... (786)
- Дебютировал электрический кроссовер Zeekr X... (807)
- Расследование из-за потери мощности мотора... (731)
- Даёшь новый Pajero! Mitsubishi и Nissan... (761)
- Всё из-за электромобилей: почти 200 000... (826)
- Стартовало производство самого мощного в... (742)
- И в лес, и по дрова, и космонавтов в поле... (774)
- Li Auto уверенно возглавляет китайский рынок... (702)
- MSI и Kingston похвастались новым рекордом... (722)
84% сайтов на движке WordPress могут быть взломаны
Дата: 2014-11-28 17:10
Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.
После получения прав администратора злоумышленник может запускать свои коды на сервере, где хостится атакованный блог - то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.
Представители Klikki Oy сообщили об уязвимости вендору 26 сентября. На текущий момент, через два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.
На самом деле жертв будет меньше, потому что есть небольшое дополнительное условие для эксплуатации - нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости - следить за статистикой обновления WordPress в реальном времени можно здесь.
На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми - но если у вас старый WordPress, стоит все-таки обновиться.
КомментироватьПодробнее на iXBT
Предыдущие новости
Apple поделилась деталями о функциях «умных» часов Watch
Компания Apple без громких анонсов обновила на своём сайте страницу, посвящённую
«Ведьмак: Приключенческая игра» поступила в продажу
В продажу поступила карточная игра от компании CD Projekt RED под названием "Ведьмак: Приключенческая игра". Игра продается в коробочном и цифровом виде, представляет из себя карточную игру по мотивам оригинального...
Акции Alibaba будут доступны инвесторам в России
Президент НП РТС Роман Горюнов пообещал допустить к торгам акции Alibaba 15 декабря. Он напомнил, что бумаги этой компании после IPO подорожали в два раза, и надеется, что на ней смогут заработать розничные российские...
В компании Lamoda не знают причин обыска в московском офисе
Lamoda заявила, что не знает о причинах проверки правоохранительных органов в московском офисе компании. Российский интернет-магазин ведёт честную, открытую политику и стремится предоставить лучший уровень сервиса по всей России, сказали в компании агентству...