The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.02.2017 10:51  В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц

Исследователи безопасности сообщают о значительном росте автоматизированных атак, эксплуатирующих недавно выявленную уязвимость в реализации REST API проекта WordPress. В настоящее время число поражённых в результате атаки страниц оценивается в 1.89 миллиона. За день прирост атакованных систем составляет 26%. Всего выявлено 19 различных атак, в основном направленных на замену содержимого страниц или подстановку спама.

Кроме ранее упомянутого взлома сайта новостей проекта openSUSE, успешные атаки зафиксированы на jcesr.org (поддерживается Министерством энергетики США), сайт Гленна Бека (glennbeck.com), комитета по туризму штата Юта (travel.utah.gov), сайт министерства по туризму Ирландии и др. Кроме того фиксируются единичные случаи атак, в результате которых осуществляется выполнение произвольного PHP-кода на сервере. Сама по себе уязвимость в REST API не позволяет запускать PHP-код, но в сочетании с наличием плагинов, позволяющих применять собственные обработчики на PHP (например, плагины Insert PHP и Exec-PHP), подобные атаки становятся возможными.

  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
  3. OpenNews: В WordPress молча устранена уязвимость, позволяющая изменить любую страницу
  4. OpenNews: Причиной утечки панамских документов могли быть уязвимые версии WordPress и Drupal
  5. OpenNews: Четверть крупнейших сайтов работают под управлением WordPress
  6. OpenNews: Новая критическая уязвимость в WordPress
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, cvbcfgbdzndgbxdfg (?), 11:05, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –3 +/
    Одним аргументом больше для заков, которые "хачу wp, это быстра и дёшева"
     
     
  • 2.30, Аноним (-), 16:44, 12/02/2017 [^] [ответить]     [к модератору]
  • +/
    Уязвимости в WP фиксятся с той же скоростью, с которой обнаруживаются Поэтому ... весь текст скрыт [показать]
     
  • 1.3, Sylvia (ok), 11:19, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    необновляшки :D Зачем надо было отключать автообновления ?
     
     
  • 2.32, adminlocalhost (ok), 16:26, 13/02/2017 [^] [ответить]    [к модератору]  
  • +/
    уязвимость появилась в 4.7.0  и устранена в 4.7.2
    как раз version hunter  на неё и попались.
     
  • 1.5, Fidel Castro (?), 11:27, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Дяди для которых веб ядерная физика, заплатили какой-то конторе запилить сайт на wp, а нанять спеца который бы следил за своевременным обновлением не додумались.
    Хотя сколько подобных случаев уже было за всё существование wp..? (много)
     
     
  • 2.10, Гость (??), 13:16, 11/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    На кой ляд там WP? В 99% случаев таким людям хватит голого хтлм, который правится раз в год.
     
     
  • 3.23, . (?), 21:20, 11/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Да - но откуда заказчик об этом узнает? Те у кого он заказывает будут перть совсем другие песни :-) Отсюда и wp ... тупо потому, что надо получить больше, а потратить меньше.
    И потом - редко ведь контракт включает что то типа SLA на сайт. Обычно вебер показывает рабочий сайт и дизайн, звенят бокалы, он получает 100% бабла ... и дальше ему выгодно чтоб чего нибудь сломалось :)))))
     
  • 3.29, starper (?), 07:18, 12/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > На кой ляд там WP? В 99% случаев таким людям хватит голого
    > хтлм, который правится раз в год.

    А щобы было, как фотошоп...


     
  • 1.13, Аноним (-), 15:11, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –6 +/
    Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову?

    В NodeJS хоть боты проверяют качество библиотек и возвращают изменения.

     
     
  • 2.14, Семилетов (ok), 16:09, 11/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову?

    Можно, если не использовать вп и прочую жумлу

     
     
  • 3.31, Аноним (-), 02:45, 13/02/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову?
    > Можно, если не использовать вп и прочую жумлу

    А когда вы последний раз про уязвимости в джумле видели? :)

     
  • 2.19, cvbcfgbdzndgbxdfg (?), 19:50, 11/02/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    >>В NodeJS хоть боты проверяют

    пацталом
    как можно с таким серьезным видом говорить такую дичь? как можно спутать nodejs с npm? да нахрен вы живете?

     
  • 1.15, Юрец (?), 16:23, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Меня затронуло :(
     
  • 1.17, бедный буратино (ok), 16:33, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а где скачать автоломалку?
     
  • 1.22, Аноним (-), 21:09, 11/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вся проблемма в лени.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor