Миллионы WordPress-сайтов оказались под угрозой из-за популярного плагина

Обсудить
Плагин WP

В популярном плагине для настройки WordPress-сайтов WP Bakery Page Builder нашли уязвимость, из-за которой 4 миллиона сайтов и их пользователей оказались в опасности.

Хакеры могут воспользоваться «брешью» в безопасности дополнения, чтобы внедрить на незащищенный сайт вредоносный JavaScript-код. С помощью него злоумышленники смогут незаметно атаковать пользователей, которые заходят на страницы с WP Bakery Page Builder.

Единственное, что защищает браузеры людей от массовых атак — специфика уязвимости. Чтобы реализовать ее потенциал, необходимо получить права автора в панели управления WordPress. Для этого нужно знать логин и пароль пользователя с соответствующими правами.

Заполучив их, злоумышленник сможет редактировать посты любого пользователя, менять код страниц, встраивать в различные элементы (включая кнопки) скрипты для атаки на посетителей ресурса.

По данным Wordfence, уязвимость обнаружили в июле 2020 года. С тех пор разработчики WP Bakery Page Builder выпустили несколько патчей, которые поочередно закрыли каждую из обнаруженных «дыр». При этом ни в одном из описаний к обновлениям не было указано, что оно устраняет серьезные ошибки. Для пользователей они выглядят так, будто несут лишь мелкие изменения и улучшения. Из-за этого некоторые веб-мастера могут отказаться от обновления или отложить его на длительный срок, а это опять же дополнительная угроза для аудитории сайта.

WP Bakery Page Builder часто включен в темы для WordPress. Поэтому всем вебмастерам стоит проверить, не установлен ли этот плагин. И если установлен, то необходимо обновить его до версии 6.4.1.

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email, который Вы использовали для входа на сайт.