Численні діри wordpress

Відео: How to Make A Killer WordPress Website From Scratch!

Безкоштовні системи управління контентом, такі як Joomla та WordPress, недарма так улюблені користувачами (на WordPress, за даними W3Tech, працює 23,9% всіх сайтів світу). Вони прості і кастомізіруеми - для них існує неймовірна кількість плагінів на будь-який смак. Однак у цієї медалі є й зворотний бік - улюблені публікою CMS таять в собі безліч вразливостей. Справедливості заради зазначу, що в основному дірки знаходять саме в плагінах, але через них вважати дані CMS безпечними можна з великою натяжкою.

У цьому місяці WordPress особливо не щастить: новини про нові баги і зломи з`являються одна за одною. Найчастіше ламають не саме движок, а різноманітні плагіни до нього, проте недавно трапилося неприємний виняток з цього правила. Критичну вразливість у вбудованій системі публікації коментарів WordPress 4.2 і нижче, яку використовує безліч сайтів, виявив фінський хакер Йоукі Пюннёнен з компанії Klikki Oy. Пюннёнен дізнався, що, якщо опублікувати досить довгий коментар (64 тисячі символів), можна спровокувати баг, який призводить до виконання стороннього коду з даної HTML-сторінки. Код буде виконаний для кожного відвідувача, який зайшов на сторінку з коментарем, в тому числі на комп`ютері адміністратора системи. Приклад коментаря:

У WordPress Foundation оперативно випустили патч, але всі ми знаємо, як «часто» оновлюються сайти на безкоштовних CMS.

Відео: How To Add A LightBox Video Gallery To WordPress - Tutorial

Ще одна уразливість, виявлена в цьому місяці, так би мовити, більш традиційна. На цей раз винен плагін WP-Super-Cache, чиє завдання - генерувати статичні файли HTML з динамічних блогів. Плагін виявився вразливий до Міжсайтовий Скриптінг (XSS). Виявлений баг дозволяє атакуючої стороні впровадити шкідливий код в сторінки, що створюються за допомогою цього розширення. Хоча розробники плагіна вже усунули діру, компанія Sucuri привласнила уразливості високий рівень небезпеки: 8 з 10 балів. Справа в тому, що плагін використовується майже мільйоном сайтів.

Справжньою вишенькою на торті цієї низки багів стало офіційне попередження від ФБР. Бюро поінформувало, що хакерська група, що зараховує себе до Ісламської державі, влаштовує масові атаки на сайти під управлінням WordPress, в основному через уразливості в темах оформлення і старі версії плагінів RevSlider, Gravity Forms, FancyBox, WP Symposium і MailPoet. WordPress Foundation в зв`язку з цим ще раз закликала адміністраторів сайтів користуватися актуальними версіями плагінів і взагалі не забувати про своєчасних оновленнях.

Ви не веб-майстер, а професійний музикант, тому вас набагато більше цікавлять не дірки в Wordpress, а високоякісне музичне обладнання (https://dj-store.ru). Саме тому я настійно раджу вам заглянути на сторінки магазину dj-store.ru. Тут ви зможете придбати гітари, мікрофони, ударні установки й інше брендове обладнання на максимально вигідних для себе умовах.

Наука і техніка