В плагинах системы управления контентом WordPress найдена серьезная уязвимость. С помощью нее хакеры могут получить права администратора или перехватить сессию одного из пользователей и списать средства с его счета, пишет «Коммерсантъ» со ссылкой на Wordfence Threat Intelligence.
В частности, уязвимыми оказались значки корзины (20 тыс. сайтов), всплывающие окна при входе на сайт (60 тыс. сайтов) и форма ввода электронной почты для оповещения о наличии товара (4 тыс). По словам руководителя группы аналитики центра мониторинга и предотвращения кибератак компании «Информзащита» Ильназа Гатауллина, они используются, в том числе и на российских сайтах, за исключением третьего плагина, у которого в целом мало установок.
Руководитель департамента аудита информационной безопасности Infosecurity Сергей Ненахов пояснил, что жертвой злоумышленников может стать не только администратор сайта, но и обычный клиент — тогда взломщик получит сессию пользователя и использует значения Cookie (небольшие текстовые документы, содержащие информацию о посещении сайтов, логины и пароли для входа в личные кабинеты). Он добавил, что в таком случае спасти может только двухфакторная авторизация на подтверждение критических действий — например, на списание средств со счета.
Wordfence Threat Intelligence сообщила разработчикам WordPress об уязвимости 5 ноября 2021 года. В конце ноября и середине декабря они выпустили обновления для плагинов сайта.
На системе WordPress работают 43% сайтов по всему миру. По данным Reg.ru, более 500 тыс. сайтов рунета тоже сделаны на базе этого конструктора.
Сайты, созданные на базе WordPress, периодически подвергаются хакерским атакам. В декабре 2021 года Wordfence заявляла, что более 13,7 млн сайтов подверглись атакам на плагины WordPress от более чем 16 тыс. IP-адресов.