плъгин

  • Иван Гайдаров19/11/2024, 19:44
    36

    Плъгин за WordPress, инсталиран на повече от 4 млн. уебсайта, позволява пълното им превземане от нападатели

    Уязвимост в плъгина за WordPress Really Simple Security позволява на потенциални нападатели пълното превземане на страници. Той е инсталиран на повече от 4 милиона уебсайта. 

    Уязвимостта дава възможност на атакуващия да получи отдалечен достъп до всеки акаунт, включително администраторския, когато е активирана 2FA. Компанията за киберсигурност Wordfence я определя като „една от най-сериозните“, които са идентифицирани някога 

    Оценена с критична CVSS оценка от 9,8, тя засяга плъгините Really Simple Security Pro и Pro Multisite, версии от 9.0.0 до 9.1.1.1. 

    На 12 ноември е пусната актуализирана версия 9.1.2. Два дни по-късно тя е въведена автоматично за всички сайтове, използващи плъгина. 

    Все пак препоръчваме всеки администратор на WordPress сайт, който използва Really Simple Security, да се увери лично. Страниците без валиден лиценз може да нямат функциониращи автоматични актуализации. 

     

  • Христо Ласков21/01/2019, 9:22
    695

    WPML хакнат от бивш служител

    Един от най-популярните WordPress плъгини за мултиезичност WPML е бил компрометиран от бивш служител. Това става ясно от имейл, разпратен до потребителите на компанията (които са над 600,000 души, според официалния ѝ сайт). В официалното съобщение се казва, че бившият служител е оставил backdoor, преди да напусне компанията. С него той е успял да:

    • Копира имена и мейли на клиенти на WPML
    • Разпратил е мейли до тях
    • Спрял е страницата за поръчка на WPML и е публикувал фалшив блог пост от името на компанията

    Прочетете и: Четири начина служителите да се превърнат в заплаха за бизнеса ви

    WPML хакнат от бивш служител

    Разпратеното фалшиво съобщение е от мним потребител, който твърди, че WPML има „смешни уязвимости в сигурността си, които въпреки всички ъпдейти, позволи два от най-важните ми сайта да бъдат хакнати“, както и че „WPML позволи достъпа до лична информация за хора, които имат минимални способности да програмират.“

    Скрийншот от мейла може да видите по-долу:

    В официалното съобщение на WPML се казва още, че самият плъгин не е компрометиран, а атакуващият не е модифицирал кода му. Не е компрометирана и финансова информация. Има вероятност обаче акаунтите на потребителите да са компрометирани, тъй като атакуващият се е сдобил с имена и имейли – а съветът на компанията към засегнатите е да сменят паролите си.

    WPML е плъгин, който позволява на потребителите да създават сайтове на повече от един език на WordPress.

Back to top button