84% сайтов на движке WordPress могут быть взломаны
Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.
После захвата админских полномочий злоумышленник может запускать свои коды на сервере, где хостится атакованный блог — то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.
Финские эксперты по безопасности, обнаружившие уязвимость, сообщили о ней вендору 26 сентября. На момент написания этой статьи, то есть два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.
На самом деле жертв будетменьше, потому что есть небольшое дополнительное условие для эксплуатации — нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости — следить за статистикой обновления WordPress в реальном времени можно здесь.
На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми -, но если у вас старый WordPress, стоит все-таки обновиться.
Комментировать
После захвата админских полномочий злоумышленник может запускать свои коды на сервере, где хостится атакованный блог — то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.
Финские эксперты по безопасности, обнаружившие уязвимость, сообщили о ней вендору 26 сентября. На момент написания этой статьи, то есть два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.
На самом деле жертв будетменьше, потому что есть небольшое дополнительное условие для эксплуатации — нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости — следить за статистикой обновления WordPress в реальном времени можно здесь.
На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми -, но если у вас старый WordPress, стоит все-таки обновиться.
Комментировать
Ещё новости по теме:
18:20