Уязвимости в WordPress ниже 4.7.1 версии


В самой популярной системе управления сайтами – WordPress, с 4.7.1 и более ранних версиях было обнаружено 3 уязвимости.

Хорошо лишь то, что уже выпущено обновление 4.7.2, оно закрывает найденные лазейки для злоумышленников.
В чём состоят уязвимости:

1. Интерфейс, с помощью которого пользователи могут назначать таксономию в Press This, показывается и тем, кто не имеет соответствующих прав доступа.

2. Уязвимость одной из самых важных частей WordPress – класса WP_Query, к SQL инъекции (SQLi), во время передачи не внушающих доверия данных. Хотя само ядро системы данной уязвимости не содержит, всё же защиту решили добавить, чтобы обезопасить шаблоны и плагины.

3. Уязвимость межсайтового скриптинга (XSS) была выявлена в таблице, содержащей список постов.

Имейте ввиду, уязвимость в системе REST API уже во всю используется. Сайты на Word Press версий 4.7 и 4.7.1 ежечасно подвергаются атакам ботов, подменяющих контент на страницах сайтов-жертв.
Но это ещё не самая большая угроза. Злоумышленники, пользуясь вышеописанной брешью в системе безопасности, вставляют спам-ссылки, перенаправления трафика с мобильных устройств на вредоносные сайты. Ну, а если вам выпало несчастье иметь плагины, которые интерпретируют код как PHP, хакер в состоянии удалённо исполнить любой, нужный ему код.
Так что обновляйтесь как можно быстрее до WordPress 4.7.2. И не думайте, что если вас пока не трогают, всё в порядке. Просто, взломав вашу систему, хакеры могут ждать удобного случая. Либо у них пока до вашего сайта руки не дошли. В любой момент всё может измениться.

Вам понравится

О блоге

Лаборатория по разработке

Лаборатория по разработке

В этом блоге вы найдите некоторые ответы на свои вопросы, связанные с разработкой сайтов.

Banner

Banner

NEWLETTERS

Sed vehicula ipsum vitae finibus condimentum.

Flickr

Flickr Feed
Flickr Feed
Flickr Feed
Flickr Feed
Flickr Feed
Flickr Feed

Fanpage