200 тыс. Сайтов WordPress под угрозой атаки

На прошлой неделе более 200 000 сайтов WordPress были уведомлены о том, что они могут подвергаться риску атаки из-за ошибки плагина, которая позволяет хакерам быстро обгонять сайты.

Плагином, о котором шла речь, был Code Snippet – плагин WordPress, который более аккуратно выполняет фрагменты кода PHP. Это означает, что вам, как разработчику сайта, больше не нужно создавать собственные фрагменты для темы вашего сайта.’S функций .php файл. С помощью этого мини-плагина функциональность вашего сайта WordPress расширяется, поскольку на вашем сайте меньше нагрузки. Code Snippets поддерживает ваш файл .php в чистоте и эффективнее запускает его на вашем сайте..

Тем не менее, плагин обнаружил ошибку в охранной фирме Wordfence. Ошибка позволила бы хакерам вводить код PHP удаленно без разрешения администратора. После того, как злоумышленники проникли на сайт, они могли выполнять вредоносные коды из любого места. Они могут даже создавать дополнительные учетные записи администратора, заражать пользователей сайта и извлекать личные данные.

Исследователи из Wordfence обнаружили, что разработчики создали в основном безопасный плагин и выполнили все правильные процедуры, но в функции импорта все еще была уязвимость, которая означала, что плагин мог быть легко скомпрометирован.

К счастью, создатели плагинов исправили уязвимость 25 января, через несколько дней после обнаружения уязвимости в безопасности. Любой, кто является пользователем плагина Code Snippet, должен убедиться, что он использует версию 2.14.0. Если вы используете более старую версию плагина, вы, ваш сайт и даже посетители вашего сайта могут быть уязвимы для атаки. Обновите немедленно до исправленной версии, чтобы убедиться, что ваш сайт в безопасности.

Согласно загруженным данным последнего обновления, примерно 58 000 пользователей плагинов обновили свой плагин, но 140 000 администраторов все еще используют старую версию, а это означает, что их сайт остается открытым для легкой атаки.

За недавним недостатком последовала еще одна атака на тысячи сайтов WordPress, зараженных плохим JavaScript. Вредоносный JavaScript был реализован с целью продвижения спам-сайтов..

Благодаря этим уязвимостям JavaScript хакеры смогли реализовать JavaScript, который запустил цикл и несколько перенаправлений “Опрос-для-подарков” веб-сайты. Ничего не подозревающие пользователи могут быть обмануты, чтобы отказаться от своей личной информации или даже случайно установить вредоносное программное обеспечение на свои компьютеры..

Sucuri, компания, занимающаяся безопасностью и удалением вредоносных программ, была первой, кто обратил внимание на этих плохих актеров. Sucuri опубликовал заявление о том, что, “К сожалению для владельцев веб-сайтов, эта вредоносная полезная нагрузка JavaScript способна вносить дальнейшие изменения в существующие файлы тем WordPress через файл /wp-admin/theme-editor.php. Это позволяет им внедрить дополнительные вредоносные программы, такие как бэкдоры PHP и инструменты для взлома, в другие файлы тем, чтобы они могли продолжать поддерживать несанкционированный доступ к зараженному веб-сайту.,”

Поскольку эти хакеры были злонамеренными, используя функции администратора для создания поддельных каталогов, они могут создавать еще больше вредоносных программ путем сжатия файлов zip. Сукури сообщил, что 2000 сайтов были заражены. Чтобы остановить проблему, Сукури “рекомендует владельцам веб-сайтов отключить модификацию блокирования хакерами первичных папок от вставки вредоносных файлов или включает в качестве части укрепление безопасности WordPress и рекомендации по безопасности.”

Владельцы сайтов WordPress должны быть особенно внимательны в защите своего сайта от хакеров. Согласно Sucuri, на WordPress приходится 90% взломанных сайтов. Сайты Magento и Joomla составляют всего 4,6% и 4,3% взломанных сайтов соответственно..

Причина, по которой WordPress так уязвим для атак, заключается в явной популярности Системы управления контентом (CMS). Поскольку WordPress поддерживает множество сайтов и является открытым исходным кодом, это означает, что хакеры могут найти больше возможностей для использования ничего не подозревающих пользователей..

Один из самых простых способов обеспечить безопасность вашего сайта WordPress – регулярно обновлять WordPress. С каждым новым выпуском тем, плагинов и т. Д. WordPress и его безопасность улучшаются, а уязвимости исправляются..

Вот почему некоторые начинающие и даже опытные разработчики WordPress предпочитают управлять хостингом WordPress. Это облегчает обновление всех плагинов сайта, потому что ваш хостинг-провайдер позаботится об обновлении всех плагинов для вас. Если ты надеешь’Не знаю, что нужно, чтобы ваш сайт обновлялся, это хорошая идея, чтобы инвестировать в этот тип хостинга.

Если ты надеешь’Если бы вы не управляли хостингом WordPress, вам придется регулярно обновлять ваш сайт WordPress. При обнаружении вредоносной ошибки или уязвимости группа поддержки WordPress обычно отправляет вам уведомление, чтобы заставить вас обновить свой сайт..

Обновление вашего сайта WordPress очень просто. Все, что нужно, это нажать “Обновить” на панели инструментов, и обычно это займет всего несколько секунд, чтобы убедиться, что ваш сайт остается в безопасности. Вам также может понадобиться “Установленные плагины” а также “Появления / Темы” чтобы убедиться, что вы используете последнюю версию каждого плагина и темы. Вы’Вы сможете легко увидеть, какой из них устарел. Потратив несколько минут на это каждые две недели, жизненно важно для безопасности вашего сайта..

Наличие безопасного сайта WordPress не’это должно быть невозможно. Убедитесь, что ваш сайт обновляется, чтобы защитить его от хакеров.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me