The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.02.2017 10:51  В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц

Исследователи безопасности сообщают о значительном росте автоматизированных атак, эксплуатирующих недавно выявленную уязвимость в реализации REST API проекта WordPress. В настоящее время число поражённых в результате атаки страниц оценивается в 1.89 миллиона. За день прирост атакованных систем составляет 26%. Всего выявлено 19 различных атак, в основном направленных на замену содержимого страниц или подстановку спама.

Кроме ранее упомянутого взлома сайта новостей проекта openSUSE, успешные атаки зафиксированы на jcesr.org (поддерживается Министерством энергетики США), сайт Гленна Бека (glennbeck.com), комитета по туризму штата Юта (travel.utah.gov), сайт министерства по туризму Ирландии и др. Кроме того фиксируются единичные случаи атак, в результате которых осуществляется выполнение произвольного PHP-кода на сервере. Сама по себе уязвимость в REST API не позволяет запускать PHP-код, но в сочетании с наличием плагинов, позволяющих применять собственные обработчики на PHP (например, плагины Insert PHP и Exec-PHP), подобные атаки становятся возможными.

  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
  3. OpenNews: В WordPress молча устранена уязвимость, позволяющая изменить любую страницу
  4. OpenNews: Причиной утечки панамских документов могли быть уязвимые версии WordPress и Drupal
  5. OpenNews: Четверть крупнейших сайтов работают под управлением WordPress
  6. OpenNews: Новая критическая уязвимость в WordPress
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, cvbcfgbdzndgbxdfg, 11:05, 11/02/2017 [ответить] [смотреть все]
  • –3 +/
    Одним аргументом больше для заков, которые "хачу wp, это быстра и дёшева"
     
     
  • 2.30, Аноним, 16:44, 12/02/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Уязвимости в WP фиксятся с той же скоростью, с которой обнаруживаются Поэтому ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Sylvia, 11:19, 11/02/2017 [ответить] [смотреть все]  
  • +1 +/
    необновляшки :D Зачем надо было отключать автообновления ?
     
     
  • 2.32, adminlocalhost, 16:26, 13/02/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    уязвимость появилась в 4.7.0  и устранена в 4.7.2
    как раз version hunter  на неё и попались.
     
  • 1.5, Fidel Castro, 11:27, 11/02/2017 [ответить] [смотреть все]  
  • +1 +/
    Дяди для которых веб ядерная физика, заплатили какой-то конторе запилить сайт на wp, а нанять спеца который бы следил за своевременным обновлением не додумались.
    Хотя сколько подобных случаев уже было за всё существование wp..? (много)
     
     
  • 2.10, Гость, 13:16, 11/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    На кой ляд там WP В 99 случаев таким людям хватит голого хтлм, который правитс... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, ., 21:20, 11/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да - но откуда заказчик об этом узнает? Те у кого он заказывает будут перть совсем другие песни :-) Отсюда и wp ... тупо потому, что надо получить больше, а потратить меньше.
    И потом - редко ведь контракт включает что то типа SLA на сайт. Обычно вебер показывает рабочий сайт и дизайн, звенят бокалы, он получает 100% бабла ... и дальше ему выгодно чтоб чего нибудь сломалось :)))))
     
  • 3.29, starper, 07:18, 12/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > На кой ляд там WP? В 99% случаев таким людям хватит голого
    > хтлм, который правится раз в год.

    А щобы было, как фотошоп...


     
  • 1.13, Аноним, 15:11, 11/02/2017 [ответить] [смотреть все]  
  • –6 +/
    Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову В... весь текст скрыт [показать]
     
     
  • 2.14, Семилетов, 16:09, 11/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Можно, если не использовать вп и прочую жумлу... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Аноним, 02:45, 13/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А когда вы последний раз про уязвимости в джумле видели ... весь текст скрыт [показать]
     
  • 2.19, cvbcfgbdzndgbxdfg, 19:50, 11/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    >>В NodeJS хоть боты проверяют

    пацталом
    как можно с таким серьезным видом говорить такую дичь? как можно спутать nodejs с npm? да нахрен вы живете?

     
  • 1.15, Юрец, 16:23, 11/02/2017 [ответить] [смотреть все]  
  • –1 +/
    Меня затронуло :(
     
  • 1.17, бедный буратино, 16:33, 11/02/2017 [ответить] [смотреть все]  
  • +/
    а где скачать автоломалку?
     
  • 1.22, Аноним, 21:09, 11/02/2017 [ответить] [смотреть все]  
  • +/
    Вся проблемма в лени.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList