20 апреля 2015 года была обнародована критическая уязвимость, позволяющая произвести XSS атаку на сайт, которой подвержено огромное количество плагинов для Wordpress.
Уязвимость связана с неправильным использованием разработчиками плагинов функций add_query_arg и remove_query_arg, которые были плохо задокументированы в документации Wordpress, что ввело разработчиков плагинов в заблуждение и в результате привело к возможности осуществления атаки.
Специалистами компании Sucuri были протестированы около 300 самых популярных плагинов Wordpress, во многих из них наличие уязвимости было подтверждено. Список мы опубликуем ниже. Разработчики данных плагинов уже выпустили обновления, закрывающие уязвимость. Однако хотим обратить внимание, что этот список не полон, очевидно, что уязвимых плагинов намного больше, просто их пока возможно никто не тестировал.
Жёсткий диск - самое уязвимое место любого сервера. Если брать возможные поломки "железа", то чаще всего выходит из строя именно жёсткий диск. При этом ещё и возникает огромный риск потери данных (если конечно своевременно не делать бэкапы). По этому состояние жёстких дисков обязательно нужно контролировать и производить их замену сразу же после возникновения проблем.
В этом поможет S.M.A.R.T., который будет постоянно контролировать диски и в случае проблемы оповестит вас по email. S.M.A.R.T. — это технология самодиагностики и предсказания возможного отказа жесткого диска.
30 сентября 2014 года стало известно об уязвимости в программном обеспечении компании Akeeba. Уязвимость позволяет удалённо загрузить шелл, не имея никаких прав в системе. Уязвимости подвержены как сами продукты Akeeba: Akeeba Backup, Akeeba Solo, Akeeba CMS Update, Akeeba Admin Tools, так и ВНИМАНИЕ: все версии Joomla 2.5 до версии 2.5.27, а также версии 3 до 3.3.5.
Дело в том, что в стандартном компоненте обновлений Joomla используются скрипты компании Akeeba. И Joomla и Akeeba выпустили свои обновления, закрывающие данную уязвимость, однако они не посчитали это критической уязвимостью и поэтому очень многие не обратили на это особого внимания.
Действительно, воспользоваться уязвимостью хакер может только тогда, когда вы делаете резервную копию вашего сайта, либо производите обновление версии сайта. То есть это всего несколько секунд о которых хакер должен ещё каким то образом и узнать.
Ещё в сентябре 2014 года была опубликована критическая уязвимость в популярном плагине для Wordpress Slider Revolution, однако и по сей день мы встречаем множество сайтов, подверженных данной уязвимости.
Уязвимость позволяет, не имея абсолютно никаких прав на вашем сайте, скачать файл wp-config.php вашего сайта, в котором находятся ваши данные для доступа к базе данных. Имея эти доступы, злоумышленник может очень легко получить контроль над вашим сайтом. Уязвимости подвержены все версии данного плагина до версии 4.1.4. Ситуация осложняется тем, что данный плагин является платным, его стоимость 18$ и поэтому многие пользователи из стран СНГ используют на своих сайтах старые версии, скачанные с бесплатных ресурсов, подверженные данной уязвимости, так как не имеют доступ к обновлениям.
Существует множество причин для использования VPN сервера для работы в интернете. Это и скрытие вашего расположения, и доступ к ресурсам, недоступным из вашей страны, и анонимность, и доступ к заблокированным сайтам, но главная причина - это безопасность.
При использовании VPN создается шифрованный туннель от вашего компьютера до нашего VPN-сервера и обратно. Это позволяет защитить любые передаваемые данные от перехвата на любых ключевых узлах, будь то публичный Wi-Fi роутер или провайдер вашего интернета.
Проще всего организовать собственный VPN сервер, используя OpenVPN. Его установку, настройку и использование мы рассмотрим ниже.