20 апреля 2015 года была обнародована критическая уязвимость, позволяющая произвести XSS атаку на сайт, которой подвержено огромное количество плагинов для Wordpress.
Уязвимость связана с неправильным использованием разработчиками плагинов функций add_query_arg и remove_query_arg, которые были плохо задокументированы в документации Wordpress, что ввело разработчиков плагинов в заблуждение и в результате привело к возможности осуществления атаки.
Специалистами компании Sucuri были протестированы около 300 самых популярных плагинов Wordpress, во многих из них наличие уязвимости было подтверждено. Список мы опубликуем ниже. Разработчики данных плагинов уже выпустили обновления, закрывающие уязвимость. Однако хотим обратить внимание, что этот список не полон, очевидно, что уязвимых плагинов намного больше, просто их пока возможно никто не тестировал.
Ещё в сентябре 2014 года была опубликована критическая уязвимость в популярном плагине для Wordpress Slider Revolution, однако и по сей день мы встречаем множество сайтов, подверженных данной уязвимости.
Уязвимость позволяет, не имея абсолютно никаких прав на вашем сайте, скачать файл wp-config.php вашего сайта, в котором находятся ваши данные для доступа к базе данных. Имея эти доступы, злоумышленник может очень легко получить контроль над вашим сайтом. Уязвимости подвержены все версии данного плагина до версии 4.1.4. Ситуация осложняется тем, что данный плагин является платным, его стоимость 18$ и поэтому многие пользователи из стран СНГ используют на своих сайтах старые версии, скачанные с бесплатных ресурсов, подверженные данной уязвимости, так как не имеют доступ к обновлениям.
24 июня 2014 года стало известно об очередной критической уязвимости в скрипте timthumb.php, который используется в огромном количестве тем и плагинов популярного движка wordpress. Хотим обратить внимание, что данный скрипт используется не только в wordpress, но и во многих других CMS, а также их расширениях.
Уязвимости подвержены абсолютно все версии timthumb, включая 2.8.13, а также и оригинальный проект WordThumb. Уязвимость позволяет злоумышленникам запускать исполнение вредоносного программного кода не имея доступа к вашему сайту.
Наверное многие знают о существовании плагина Contact Form 7, с помощью которого можно создавать практически любые формы обратной связи на сайтах, построенных на популярном движке WordPress. Плагин хорош, позволяет получать все введённые посетителем данные на ваш email. Но перед нами на днях поставили задачу по сложнее, необходимо было сделать так, чтобы после того, как пользователь ввёл свои данные на wordpress сайте, он тут же автоматически становился подписчиком на одну из рассылок, созданных с помощью сервиса unisender.com.
Раз нужно — значит сделаем.
Итак, что мы имеем: сайт на wordpress с несколькими формами, которые работают через Contact Form 7, и только две из них должны подписывать пользователей на рассылки в unisender. Причём каждая на свою.
О подобных атаках мы уже писали ранее, но в последние дни они активизировались с невероятной силой. Суть атаки заключается в том, что боты перебирают пароли к администраторской панели сайта. Это опасно не только тем, что пароль рано или поздно они всё-таки могут подобрать, но и тем, что при этом создаётся довольно приличная нагрузка на сервер.
Так как атаки в последние дни приобрели просто невероятную силу, сервера многих хостеров просто не выдерживают таких запредельных нагрузок. Хостеры естественно пытаются справится с этой напастью, но это у них не всегда получается, так как количество ботов просто огромно и файрволы не могут справится с таким количеством блокировок. Поэтому некоторые из них, как временное решение, блокируют запросы к файлам wp-login.php для wordpress и administrator/index.php для Joomla.
В настоящее время в сети наблюдается массовый взлом сайтов, построенных на популярном блоговом движке WordPress. Причём в данном случае не используется какая-либо уязвимость, ломают методом банального брутфорса (перебора паролей).
Что интересно, атака производится с обычных компьютеров пользователей, заражённых вирусом. То есть по сути такой компьютер получает задание подобрать пароль к определённому сайту и после этого он начинает каждые 1 — 2 секунды пытаться авторизоваться в администраторской панели этого сайта. При этом практически всегда используется стандартный логин admin, а пароль перебирается по специальному словарю. Также хочется заметить, что перебор паролей идёт не с одной заражённой машины. То есть, к примеру 50 попыток подбора делает один компьютер-зомби, дальше продолжает другой, третий и так далее. Взломанных подобным способом сайтов в данный момент огромное количество и атаки не утихают.