🔒 Найдено три уязвимости в WordPress 4.7.1
Во всех версиях Wordpress, начиная с 4.7.1 и младше, было найдено три уязвимости. На данный момент разработчики выпустили обновление Wordpress 4.7.2, которое исправляет ошибки безопасности.
Суммарно об уязвимостях в Wordpress 4.7.1 и младше:
- Пользовательский интерфейс для назначения таксономии в Press This отображался пользователям, не имеющим соответствующих прав;
- Уязвимоть
WP_Queryк SQL инъекции (SQLi) при прохождении небезопасных данных. Ядро Wordpress напрямую не содержит уязвимости, но данная защита была добавлена с целью предотвращения плагинов и шаблонов от уязвимости; - Уявимость кросс-сайтового скриптинга (XSS), обнаруженная в таблице со списком постов.
Уязвимость в WordPress REST API активно эксплуатируется
На сайты, которые работаю на Wordpress 4.7 и 4.7.1 ежедневно проводятся атаки ботами, которые подменяют контент в статьях, используя брешь в REST API. Масштаб уже поражает - например, запрос в поисковой системе Google "Hacked by NG689Skw" выдает нам 250 000 результатов, а запрос "Hacked By SA3D HaCk3D" порядка 190 тысяч результатов. Но это не основная проблема. Опасность том, что можно хакеры могут осуществить внедрение спам ссылок, SEO-контент и мобильные редиректы, а если вы используете плагины, которые интерпретируют код как php, то хакеры смогут удаленно исполнять произвольный код.
Специалисты рекомендуют если вы не можете обновиться до версии 4.7.2, закрывайте доступ к REST API постов через .htaccess:
RewriteEngine On
RewriteRule /wp/v2/posts/ - [F,L]Надеюсь эта новость убережет вас от бессонных ночей по восстановлению сайта. Так как часто хакеры могут месяцами не использовать брешь в безопасности вашего сайта, который они взломали заранее.
Если Вы хотите оставаться в курсе всех новостей, подписывайтесь и голосуйте своим голосом! Желаю всем продуктивного дня и хороших выходных!