- Учёные MIT разработали нанотранзисторы... (600)
- Два героя, возвращение Umbrella и... (557)
- Intel отложила создание фабрик чипов в... (662)
- AMD без лишнего шума сделала свои процессоры... (510)
- В России впервые официально выходит смартфон... (525)
- Исследование формации Haasttse-baad Tessera... (653)
- Новое исследование Gran 5: обнаружены две... (496)
- Эта системная плата для AM5 весьма доступна,... (501)
- Солнечный максимум положил конец миссии... (468)
- Солнечный максимум положил конец миссии... (503)
- Американский космический самолёт Boeing... (509)
- Новые транзитные события и гамма-всплески:... (525)
- В ранней Вселенной обнаружена чёрная дыра,... (499)
- 6600 мА·ч, немерцающий экран и защита от... (408)
- Индия переносит запуск первой пилотируемой... (480)
- Vivo анонсировала выпуск в России смартфона... (465)
84% сайтов на движке WordPress могут быть взломаны
Дата: 2014-11-28 17:10
Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.
После получения прав администратора злоумышленник может запускать свои коды на сервере, где хостится атакованный блог - то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.
Представители Klikki Oy сообщили об уязвимости вендору 26 сентября. На текущий момент, через два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.
На самом деле жертв будет меньше, потому что есть небольшое дополнительное условие для эксплуатации - нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости - следить за статистикой обновления WordPress в реальном времени можно здесь.
На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми - но если у вас старый WordPress, стоит все-таки обновиться.
КомментироватьПодробнее на iXBT
Предыдущие новости
Apple поделилась деталями о функциях «умных» часов Watch
Компания Apple без громких анонсов обновила на своём сайте страницу, посвящённую
«Ведьмак: Приключенческая игра» поступила в продажу
В продажу поступила карточная игра от компании CD Projekt RED под названием "Ведьмак: Приключенческая игра". Игра продается в коробочном и цифровом виде, представляет из себя карточную игру по мотивам оригинального...
Акции Alibaba будут доступны инвесторам в России
Президент НП РТС Роман Горюнов пообещал допустить к торгам акции Alibaba 15 декабря. Он напомнил, что бумаги этой компании после IPO подорожали в два раза, и надеется, что на ней смогут заработать розничные российские...
В компании Lamoda не знают причин обыска в московском офисе
Lamoda заявила, что не знает о причинах проверки правоохранительных органов в московском офисе компании. Российский интернет-магазин ведёт честную, открытую политику и стремится предоставить лучший уровень сервиса по всей России, сказали в компании агентству...