Новости

Эксперты обнаружили в системе WordPress серьезную уязвимость

Новости
Денис Савосин
Денис Савосин

Редактор новостного отдела

Денис Савосин

Эксперты обнаружили в плагинах популярной системы управления сайтом WordPress серьезную уязвимость. Она позволяет киберпреступникам получить доступ к сайту с правами администратора или перехватить сессию пользователя и списать средства с его счета.

Эксперты обнаружили в системе WordPress серьезную уязвимость

В плагинах WordPress выявлена серьезная уязвимость, которая позволяет хакерам получить права администратора, сообщил «Коммерсантъ» со ссылкой на Wordfence Threat Intelligence. Специалисты по кибербезопасности уведомили WordPress об этом 5 ноября 2021 года. В ноябре и декабре того же года разработчик выпустил обновленные версии плагинов.

Уязвимыми оказались модули:

  • всплывающего окна при входе на сайт;
  • значка корзины, который обеспечивает доступ пользователей из любой точки сайта;
  • формы ввода электронной почты для оповещения о наличии товара. 

По данным WordPress, эти плагины установлены на более чем 20 тыс., 60 тыс. и 4 тыс. сайтов соответственно.

Два из трех плагинов встречаются и на российских сайтах, сообщил руководитель группы аналитики центра мониторинга и предотвращения кибератак «Информзащиты» Ильназ Гатауллин.

По его данным, плагин корзины в основном используют интернет-магазины, а плагин всплывающего окна популярен у разных категорий сайтов. Уязвимость опасна тем, что позволяет получить административный доступ к сайту и изменять его параметры, указал эксперт.

Для проведения атаки мошенник создает внешнюю интернет-страницу, которая будет посылать запросы к целевому сайту, пояснил руководитель отдела анализа защищенности «Ростелеком-Солар» Александр Колесов. Так, например, администратору может быть отправлена ссылка, при открытии которой запустится процесс смены пароля и управление сайтом попадет в руки к киберпреступникам.

Но для того, чтобы воспользоваться этой уязвимостью, по ссылке должен перейти администратор. Поэтому мошенники будут использовать ее только вместе с фишингом или социальной инженерией, уточнил эксперт по кибербезопасности «Лаборатории Касперского» Борис Ларин.

При этом, по словам руководителя департамента аудита информационной безопасности Infosecurity Сергея Ненахова, жертвой может быть не только администратор сайта, но и обычный клиент. В таком случае мошенник получит сессию пользователя и использует значения Cookie.

По собственным данным WordPress, эту CMS используют около 43% всех сайтов в мире. По информации Reg.ru, в зоне .ru на WordPress работают 548,5 тыс. сайтов.

Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!

Фото на обложке: monticello / Shutterstock

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Как защитить свой сайт на WordPress: советы эксперта
  2. 2 Гид по сервисам для разработки сайтов и приложений, где не нужно писать код
  3. 3 Защита от кибератак: как действовать компаниям?
  4. 4 3 темы, которые сейчас используют телефонные мошенники: как распознать злоумышленников
  5. 5 Выбираем VPN-сервис правильно — инструкция