Наверх
Уязвимость в WordPress позволила взломать миллионы веб-страниц
Брешь, присутствовавшая в API платформы, позволяет модифицировать содержание любого поста или страницы на сайте. Дефект исправили в WordPress версии 4.7.2, вышедшей 26 января.
0
В API движка WordPress, предназначенного для создания сайтов, обнаружена серьезная уязвимость. Она позволяет изменять содержание как любой страницы ресурса, так и любого отдельного поста.
|
| Владельцам сайтов на WordPress стоит немедленно установить обновление |
Разработчики WordPress исправили ошибку в версии 4.7.2 (релиз от 26 января), однако сообщили об этом только неделю спустя. Вероятно, они не хотели афишировать факт уязвимости, так как надеялись, что пользователи массово установят обновление и проблема решится сама собой. Однако массово никто обновляться не стал, и в итоге владельцев сайтов на WordPress пришлось поторопить.
Это дало не совсем тот эффект, на который рассчитывали разработчики, – последовали массовые атаки на сайты, базирующиеся на устаревшей версии движка. Пострадало около 40 тыс. ресурсов: хакеры испортили порядка 1,5 млн страниц. Учитывая масштабы атак, можно предположить, что злоумышленники устроили своего рода соревнование – кто успеет нанести больше вреда до тех пор, пока все не обновятся.
Более того, в процессе хакерам удалось найти способы обхода правил, которые еще до выпуска WordPress 4.7.2 были заданы в межсетевых экранах для защиты от использования описанной выше уязвимости.
