84% сайтов на движке WordPress могут быть взломаны

Пятница, 28 ноября 2014 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.

После захвата админских полномочий злоумышленник может запускать свои коды на сервере, где хостится атакованный блог — то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.

Финские эксперты по безопасности, обнаружившие уязвимость, сообщили о ней вендору 26 сентября. На момент написания этой статьи, то есть два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.

На самом деле жертв будетменьше, потому что есть небольшое дополнительное условие для эксплуатации — нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости — следить за статистикой обновления WordPress в реальном времени можно здесь.

На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми -, но если у вас старый WordPress, стоит все-таки обновиться.

Комментировать

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 961
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003