В конструкторе для сайтов WordPress нашли уязвимость

Уязвимость в плагинах системы управления контентом конструктора для сайтов WordPress позволяет хакерам получить права администратора, заявила Wordfence Threat Intelligence. Об этом компания сообщила разработчикам WordPress 5 ноября 2021 года, 24 ноября и 17 декабря они выпустили обновления для плагинов сайта.

В частности, уязвимыми оказались значки корзины (20 тыс. сайтов), всплывающие окна при входе на сайт (60 тыс. сайтов) и форма ввода электронной почты, чтобы узнавать о наличии товара (4 тыс).

Как заметил руководитель группы аналитики центра мониторинга и предотвращения кибератак компании «Информзащита» Ильназ Гатауллин, все эти плагины используются и на российских сайтах, кроме формы ввода электронной почты. Плагин корзины чаще используют интернет-магазины, говорит он.

WordPress — система управления сайтами, в которой есть инструменты для публикации и работы с контентом. На ней работают 43% всех сайтов по всему миру. Более 500 тыс. сайтов рунета также сделаны на WordPress, по данным Reg.ru.

Wordfence сообщала, что из-за уязвимости от атак на плагины пострадали свыше 13,7 млн сайтов с более чем 16 тыс. IP-адресов.

Злоумышленник может создать внешнюю интернет-страницу, которая будет атаковывать сайт запросами, например, отправит ссылку, которая при открытии запустит смену пароля — и хакер получит права администратора, сказал руководитель отдела анализа защищенности компании «Ростелеком-Солар» Александр Колесов.

Воспользоваться этой уязвимостью атакующие могли только с помощью фишинга и социальной инженерии, сказал эксперт по кибербезопасности «Лаборатории Касперского» Борис Ларин.