В API движка WordPress, предназначенного для создания сайтов, обнаружена серьезная уязвимость. Она позволяет изменять содержание как любой страницы ресурса, так и любого отдельного поста.

Владельцам сайтов на WordPress стоит немедленно установить обновление

Разработчики WordPress исправили ошибку в версии 4.7.2 (релиз от 26 января), однако сообщили об этом только неделю спустя. Вероятно, они не хотели афишировать факт уязвимости, так как надеялись, что пользователи массово установят обновление и проблема решится сама собой. Однако массово никто обновляться не стал, и в итоге владельцев сайтов на WordPress пришлось поторопить.

Это дало не совсем тот эффект, на который рассчитывали разработчики, – последовали массовые атаки на сайты, базирующиеся на устаревшей версии движка. Пострадало около 40 тыс. ресурсов: хакеры испортили порядка 1,5 млн страниц. Учитывая масштабы атак, можно предположить, что злоумышленники устроили своего рода соревнование – кто успеет нанести больше вреда до тех пор, пока все не обновятся.

Более того, в процессе хакерам удалось найти способы обхода правил, которые еще до выпуска WordPress 4.7.2 были заданы в межсетевых экранах для защиты от использования описанной выше уязвимости.
 

 

600