Мир: Свыше 60 тыс. сайтов взломаны с помощью уязвимости в WordPress

В системе управления контентом (CMS) WordPress была обнаружена опасная уязвимость, позволяющая осуществлять SQL-инъекции. Команда поддержки WordPress выпустила обновления, однако сообщила об этом общественности не сразу. Разработчики отложили раскрытие подробностей об уязвимости на одну неделю с целью дать время администраторам установить обновления. Несмотря на все попытки разработчиков максимально обезопасить пользователей, администраторы сайтов под управлением WordPress не…

Мир: Уязвимость в WordPress позволяет удаленно изменять web-страницы

На прошлой неделе в системе управления контентом (CMS) WordPress была исправлена уязвимость, позволявшая повысить привилегии и осуществить SQL-инъекцию. С ее помощью неавторизованные хакеры способны удаленно редактировать и удалять web-страницы. Среди прочего, с помощью уязвимости злоумышленники могут модифицировать страницы сайтов таким образом, чтобы они перенаправляли пользователей на наборы эксплоитов. Проблему обнаружил канадский исследователь Марк-Александр Монпа (Marc-Alexandre…

Мир: Sucuri назвала ТОП-3 самых взламываемых CMS

Компания Sucuri, специализирующаяся на web-безопасности, опубликовала отчет за третий квартал 2016 г. по самым взламываемым CMS. По результатам анализа за подотчетный период было скомпрометировано 7937 сайта. Чаще всего злоумышленники успешно взламывали сайты под управлением WordPress, Joomla и Magento. Согласно отчету, 74% скомпрометированных сайта работали под управлением WordPress, 17% под управлением Joomla и 6% под Magento.…

Мир: Механизм загрузки обновлений для WordPress угрожает безопасности данных

Глава отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски (Scott Arciszewski) предупредил о рисках, связанных с использованием механизма доставки обновлений для WordPress. Арцишевски сообщил о проблемах команде WordPress, однако ему так и не удалось убедить ее в их серьезности. В общей сложности эксперт обнаружит три проблемы. Первая из них связана с функцией в исходном коде…

Мир: Уязвимость в плагине WP Marketplace угрожает сайтам на базе WordPress

Вебмастеры, по-прежнему использующие больше неподдерживаемый плагин WP Marketplace для WordPress, должны как можно скорее его удалить. Исследователи из White Fir Design обнаружили в плагине уязвимость, позволяющую загружать на сайт произвольные файлы. В зависимости от навыков и применяемых эксплоитов хакер может проэксплуатировать уязвимость и получить контроль над сервером. Исследователи заподозрили неладное, когда обнаружили на различных сайтах…

Мир: Хакеры используют файлы ядра WordPress для перенаправления трафика

Эксперты Sucuri сообщили о новой технике, используемой злоумышленниками для взлома сайтов, работающих на базе WordPress. По данным исследователей, хакеры используют один из файлов ядра WordPress для внедрения вредоносного кода в скомпрометированный сайт и перенаправления трафика на вредоносный ресурс. Речь идет о wp-includes/template-loader.php – файле WordPress, предназначенном для управления шаблонами страниц сайта. В ходе последнего зафиксированного…

Мир: В 2016 году компрометации подверглись более 15 тыс. сайтов на WordPress

С начала 2016 г. по меньшей мере 15769 сайтов на WordPress стали жертвами взлома. Такие данные приводят специалисты компании Sucuri в отчете за второй квартал 2016 г.. В указанный период эксперты проанализировали более 9 тыс. инфицированных ресурсов под управлением WordPress (78%), Joomla! (14%), Magento (5%) и Drupal (2%). Как показало исследование, 55% сайтов на WordPress…

Мир: Уязвимость в популярном плагине для WordPress поставила под угрозу свыше миллиона сайтов

Независимый исследователь Давид Ваартъес (David Vaartjes) сообщил об опасной уязвимости в популярном плагине All In One SEO Pack, предназначенном для SEO-оптимизации сайта на движке WordPress. Проблема позволяет неавторизованному пользователю перехватить учетную запись администратора уязвимого ресурса. Ошибка существует в модуле Bad Bot Blocker, служащем для защиты сайта от ботов и спама. Уязвимость может быть проэксплуатирована удаленно…

Мир: Новая версия WordPress устраняет множественные уязвимости

Вышла новая версия WordPress 4.5.3, устраняющая множественные уязвимости в популярной системе управления контентом. В новой версии устранено 8 уязвимостей, обнаруженных сторонними исследователями и членами команды безопасности CMS. Максимальный рейтинг опасности устраненных уязвимостей – средний. В новой версии WordPress устранены уязвимости, позволяющие удаленному пользователю осуществить XSS нападение, получить доступ к закрытым публикациям, удалить категории чужой публикации,…

Мир: Хакеры эксплуатируют уязвимость нулевого дня в плагине к WordPress

Уязвимость нулевого дня в популярном плагине для мобильных загрузок WP Mobile Detector позволяет злоумышленнику загрузить и выполнить произвольный PHP файл на целевой системе. Согласно статистике на сайте WordPress, плагин насчитывает более 10 000 активных установок. Первые атаки на сайты были зафиксированы 29 мая этого года. Уязвимость заключается в отсутствии каких-либо проверок во время загрузки файла.…

Мир: В 1 квартале 2016 года компрометации подверглось 78% сайтов на WordPress

В настоящее время в Сети функционирует более 1 млрд. сайтов, более трети из них работают на базе четырех ключевых платформ – WordPress, Joomla!, Drupal и Magento. Специалисты ИБ-компании Sucuri опубликовали отчет за 1 квартал 2016 г., посвященный анализу причин компрометации ресурсов, работающих под управлением вышеуказанных платформ. Эксперты проанализировали в общей сложности 11485 инфицированных сайтов. Из…

Мир: В августе 2016 года начнётся регистрация доменов в зоне .blog, регистратором выступит WordPress.com

Во второй половине этого года блогеры смогут приступить к регистрации доменов в зоне верхнего уровня .blog и использовать их для ведения собственных блогов. Регистрацией доменов в зоне .blog займётся WordPress. Но это не значит, что для ведения сайтов в этой зоне будет необходимо использовать именно это платформу. Владельцы доменов в новой зоне смогут самостоятельно выбирать…

Мир: Сайты на базе WordPress по умолчанию будут использовать протокол HTTPS

Отныне все сайты на базе WordPress будут по умолчанию использовать протокол HTTPS для шифрования трафика и обеспечения защиты обмена данными между ресурсом и посетителями, сообщается в официальном блоге разработчиков платформы. Согласно статистическим данным компании W3techs за апрель 2016 г., в настоящее время на базе WordPress работают 26,3% всех CMS.

Мир: Причиной утечки “Панамских документов” могли стать известные уязвимости в WordPress и Drupal

Причиной масштабной утечки данных юридической компании Mossack Fonseca, известных как “Панамские документы”, могла послужить беспечность ее руководства в отношении информационной безопасности. Деловая переписка велась по незашифрованным каналам связи, а web-ресурсы были уязвимы к хакерским атакам.

Мир: Хакеры атакуют сайты на WordPress и Joomla

Хакеры используют популярную JavaScript-библиотеку JQuery для внедрения вредоносного кода в миллионы web-сайтов под управлением WordPress и Joomla. Согласно ИБ-экспертам компании Avast, в последнее время распространены поддельные версии JQuery. Киберпреступники внедряют фальшивый скрипт на страницы web-сайтов, работающих на платформах WordPress и Joomla. В результате сайт оказывается скомпрометирован.

Мир: Сайты на базе популярных CMS в три раза чаще подвергаются атакам

Специалисты компании Imperva в течение полугода собирали данные об атаках на web-приложения. Аналитики подготовили подробный отчет о кибератаках с 1 января по 30 июня 2015 г. Как показала статистика, работающие на базе известных CMS сайты намного чаще подвергаются атакам.

Мир: В популярном плагине CCTM для WordPress обнаружен бэкдор

Специалисты компании Sucuri обнаружили бэкдор в версии 0.9.8.8 популярного плагина Custom Content Type Manager (CCTM) для WordPress, позволяющий злоумышленникам похищать учетные данные пользователей зараженных сайтов.

Мир: Злоумышленники осуществляют DDoS-атаки с помощью легитимных сайтов под управлением WordPress

Более 26 тыс. сайтов под управлением WordPress были использованы злоумышленниками для осуществления масштабных DDoS-атак по протоколу 7-го уровня сетевой модели OSI. Инцидент обнаружили специалисты ИБ-компании Sucuri.

Мир: Обнаружена кампания по инфицированию сайтов на базе популярных CMS

Специалисты компании Revisium обнаружили вредоносную кампанию, направленную на сайты на основе популярных систем управления контентом (CMS). Злоумышленники встраивают сторонний JavaScript-код в базу данных ресурсов. Инъекция кода осуществляется следующим образом: в свежие записи в таблице страниц вставляется обфусцированный JavaScript-сценарий с фреймом <iframe>, загружающий вредоносные рекламные объявления. Подобный код был обнаружен на сайтах под управлением WordPress, Joomla,…

Мир: Ботнет из 12 тыс. маршрутизаторов Aethra использовался для атак на WordPress-сайты

Итальянская компания VoidSec, работающая в сфере информационной безопасности, опубликовала материал о недавно обнаруженном ботнете из маршрутизаторов Aethra. Как выяснилось, злоумышленники использовали данный ботнет для осуществления брутфорс-атак на сайты под управлением WordPress.