Хакеры атакуют веб-сайты на базе WordPress

По данным исследователей безопасности, хакеры сейчас используют уязвимости в трех популярных плагинах WordPress: WP Meta SEO, WP Statistika и LiteSpeed Cache.

WordPress — одна из самых популярных платформ для создания сайтов, поэтому она часто становится целью для хакеров. Плагины, как и любое другое программное обеспечение, могут содержать уязвимости. Обычно разработчики быстро исправляют такие проблемы.

Но наличие исправления не означает, что оно будет сразу установлено. Владельцы сайтов часто откладывают установку обновлений, и хакеры пользуются этим.

Исследователи безопасности из Fastly обнаружили, что три серьезные уязвимости — CVE-2024-2194, CVE-2023-6961 и CVE-2023-40000 — активно атакуются хакерами. Эти уязвимости недавно обнаружены, но для них уже выпущены исправления.

«Эти уязвимости встречаются в различных плагинах WordPress и позволяют хакерам использовать хранимые межсайтовые сценарии (XSS) без необходимости аутентификации. Это происходит из-за недостаточной очистки входных данных и экранирования выходных данных, что позволяет злоумышленникам внедрять вредоносные сценарии», — отметили исследователи.

«Атаки, которые мы наблюдаем, используют тег сценария, указывающий на запутанный файл JavaScript, размещенный на внешнем домене».

Эти сценарии помогают хакерам создавать новых администраторов, вставлять скрытые входы на сайты и помогать преступникам следить за зараженными веб-сайтами.

Под угрозой находятся плагины WP Статистика (версия 14.5 и более ранние), WP Meta SEO (версия 4.5.12 и более ранние) и LiteSpeed Cache (версия 5.7.0.1 и более ранние). Миллионы сайтов используют эти плагины, и многие из них работают на уязвимых старых версиях.

Веб-администраторам рекомендуется обновить все плагины до последних версий и удалить все старые папки плагинов. Также рекомендуется проверить права пользователей и другие возможные проблемы, а также проверить все файлы на наличие вредоносного кода.

Источник: Bitdefender

This site is registered on wpml.org as a development site.