Craftum — конструктор сайтов
Создайте сайт с помощью профессиональных шаблонов или придумайте дизайн с нуля

Уязвимость в плагине для WordPress позволяет уничтожить весь контент сайта

1 комментарий
Обнаружена критическая уязвимость в популярном плагине для WordPress

По данным издания Wordfence, в популярном плагине для WordPress, который называется Hashthemes Demo Importer, обнаружена критическая уязвимость, позволяющая злоумышленникам стереть весь контент с ресурса в один клик. 

Hashthemes Demo Importer – это расширение для WP, которое без загрузки лишних пакетов данных помогает устанавливать в WP-блоги демоверсии платных тем. 

Благодаря багу в плагине любой авторизованный на сайте пользователь (даже с самыми базовыми привилегиями) мог запустить скрипт hdi_install_demo с параметром reset. Это позволяло удалить практически весь контент, связанный с блогом, на который было «совершено нападение». Скрипт активирует команду database_reset, которая зачищает каждую таблицу в базе данных за исключением wp_options, wp_users и wpusermeta. Что важно отметить, восстановить данные после использования уязвимости невозможно. Для этого потребуется резервная копия ресурса (если такая создавалась ранее). 

Разработчики плагина уже выпустили патч, закрывающий доступ к обнуляющему скрипту. Он был опубликован в сентябре, хотя об этом и не сообщалось. Всем пользователям Hashthemes Demo Importer рекомендуется оперативно установить последнюю версию дополнения, чтобы избежать потенциальных проблем.

Новый подкаст от Timeweb

Комментарии

underground +82
11 ноя в 01:22
Подобные плагины всегда вызывали у меня подозрение. Не все то хорошо, что удобно. Все что предлагается - в большинстве создано на скорую руку, выпускается как есть, и потом уже начинаются доработки. Это называется "Как вам некогда".
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте