wordpress

  • Критична XSS уязвимост в PixelYourSite e използвана като вектор за атака срещу български WooCommerce магазини

    Последен ъпдейт на 18 февруари 2026 в 09:10 ч.

    Един от най-популярните тракинг модули за WordPress – PixelYourSite се оказа засегнат от критична уязвимост, публикувана на 13 февруари 2026 г. в базата данни на Wordfence. Проблемът засяга както Pro, така и Free версията на плъгина и позволява неавтентикиран Stored Cross-Site Scripting (XSS) чрез запис на HTTP Referer хедъра в мета данните на WooCommerce поръчките без адекватна санитизация.

    Уязвимостите са регистрирани като:

    • CVE-2026-1844 (PixelYourSite Pro)
    • CVE-2026-1841 (PixelYourSite Free)
      CVSS: 7.2 / 10 (High)

    След няколко дни комуникация с екипа на PixelYourSIte, горната уязвимост, както и още 3 нови, които открихме и репортнахме, са отстранени. Очаквайте допълнителна информация за това след регистрирането на CVE-тата, но междувременно: ъпдейтнете модула веднага.

    Как работи атаката

    Атакуващ може да създаде фалшива поръчка, съдържаща зловреден скрипт в HTTP Referer хедъра. Този скрипт се записва в мета данните на поръчката. При отваряне на поръчката от администратор в WooCommerce, кодът се изпълнява в контекста на неговата сесия.

    Поръчката може да идва и от потребители с мними български имена:

    Потенциалният резултат:

    1. създаване на нов администраторски акаунт
    2. инжектиране на бекдор
    3. компрометиране на сайта

    Към момента няма официално публично съобщение от разработчиците, но е налична версия 12.4.0.3, която отстранява частично проблема проблема. Колегата Иван Арнаудов публикува mu-plugin, който коригира уязвимостите. Екипът ни форкна и го подобри, защото междувременно отрихме още няколко казуса, които позволяват XSS атака и неоторизирано създаване на админ акаунти. Свалете го и инсталирайте като mu-plugin или обикновен плъгин в сайта си.

    Налични са доказателства за успешни атаки срещу български сайтове, затова: 

    Какво да направите незабавно

    1. Проверете версията на плъгина.

    Ако използвате PixelYourSite: обновете до последната налична версия (минимум 12.4.0.3 за Pro). Ако не използвате активно плъгина — деактивирайте и премахнете.

    Не отлагайте. При Stored XSS атаките компрометирането може да се случи дори без видими симптоми.

    2. Сканирайте базата данни

    Проверете мета данните на WooCommerce поръчките за инжектиран код:

    SELECT order_id, meta_key, meta_value
    FROM wp_wc_orders_meta
    WHERE meta_value REGEXP '<script|iframe|onerror=|base64|staticsx';

    (Заменете префикса wp_ със своя.)

    Ако откриете съмнителни записи:

    1. Не ги триите веднага.
    2. Направете бекъп.
    3. Консултирайте се със специалист.

    3. Проверете администраторските акаунти

    SELECT u.ID, u.user_login, u.user_email
    FROM wp_users u
    JOIN wp_usermeta um ON um.user_id = u.ID
    WHERE um.meta_key LIKE '%_capabilities'
    AND um.meta_value LIKE '%administrator%';

    Проверете:

    1. Познавате ли всеки акаунт?
    2. Има ли нови потребители, създадени през последните дни?
    3. Има ли подозрителни имейли?

    4. Проверете логовете

    Прегледайте:

    1. новосъздадени потребители
    2. необичайни POST заявки към checkout
    3. промени в плъгини или теми

    Ако използвате firewall (Cloudflare, Wordfence, Sucuri), прегледайте логовете за аномалии около 13 февруари насам.

    5. Ако подозирате компромис

    1. Смяна на всички администраторски пароли
    2. Ротация на API ключове (Meta, Google, TikTok и др.)
    3. Проверка на файловата система за бекдори
    4. Пълно сканиране със специализиран инструмент

    По-важният урок

    Този случай показва нещо критично: плъгин, който записва входящи HTTP хедъри без санитизация, може да превърне маркетингов инструмент във входна точка за атака.

    Stored XSS в административен панел не е „козметичен“ проблем — това е директен път към takeover на сайта.

    Как да се застраховате срещу подбен тия узпвимост:

    1. Следвайте принципа на минимално необходими права (Principle of Least Privilege) – В WordPress ролята Administrator има пълен контрол — създаване на потребители, инсталиране на плъгини, промяна на код. Ролята Shop Manager (в WooCommerce) позволява управление на поръчки и продукти, но без системни привилегии. Ако работите като Shop Manager, то няма как да създадете потребител с администраторски права и уязвимостта е неизползваема срещу вас
    2. 2-факторна автентикация за всички админи, задължително
    3. Zero Trust (има го в безплатната версия на Cloudflare)
    4. Забранете редактирнаето на файлове и плъгини през админ панела с долните 2 реда в wp-config.php:
    define( 'DISALLOW_FILE_EDIT', true );
    define( 'DISALLOW_FILE_MODS', true );
  • Критична уязвимост в BeyondCart — задължителен ъпдейт за всички клиенти

    В края на миналата седмица забелязахме критична zero-day уязвимост (CVE-2025-8570 с оценка 9.8) в REST API на плъгина BeyondCart (BeyondCart Connector), която позволяваше неавтентикирани заявки да достъпват и модифицират данни за потребители. При определена последователност това може да доведе до ескалиране на привилегии и сдобиване с администраторски акаунт в сайта ви – както се случи в нашия казус.

    Самата уязвимост е открита на 10 септември от потребителя kr0d и е публикувана в базите на WordFence и PatchStack. Лошото в случая е, че имаме доказателства, че се използва активно буквално от 11 септември, затова – още преди да продължите да четете, ъпдейтнете модула. 

    Атаката протича на няколко етапа

    1. първоначално разузнаване на публични endpoint-и (в нашия случай от Индонезия – пълен списък на IP адресите по-долу),
    2. експлоатация с PUT заявка за промяна на администраторски акаунт (подмяна на имейл и парола)
    3. последвано от вход в админ панела
    4. деактивиране на BeyondCart Connector (хакерите не искат някой да ги надхака, явно)
    5. инсталиране на WP File Manager и качване на модната версия на ядрото на WordPress, в която има persistent backdoor – class-action.php
    6. модификация на functions.php на темата и добавка: скрипт за ексфилтриране на администраотски акаунти
    7. прикриване на следите от атаката

    Причината за казуса

    Уведомихме веднага екипа на BeyondCart. Те потвърдиха проблема и вече са премахнали уязвимия код от публичното хранилище. Към момента плъгинът е временно недостъпен за изтегляне в WordPress.org, докато тече проверка.

    Коренът на проблема е липсата на правилна последователност: автентикацията трябва да се валидира преди проверката на разрешенията за даден customer ID. В сегашната реализация endpoint-ът може да върне данни и за неаутентифицирани потребители, което отваря врата за по-нататъшна ескалация.

    	public function user_permissions_check( $request ) {
    		$id = (int) $request['id'];
    
    		if(!isset($request['id'])) {
    			$id = (int) $request['customer'];
    		}
    		
    
    		if ( get_current_user_id() != $id ) {
    			return new WP_Error( 'BeyondCart', __( 'Sorry, you are not allowed to do this.', "grind-mobile-app" ), array( 'status' => rest_authorization_required_code() ) );
    		}
    
    		return true;
    	}

    За какво да се оглеждате

    1. Ако имате версия на плъгина, по-ниска от 3.Х и той е деактивиран, без да знаете защо – най-вероятно сте компрометирани
    2. Провете администраторските акаунти – ако броят на администраторите, които виждате в списъка с потребители, не съвпада с този, който виждате до линка Администратори в таба – най-вероятно има компрометиран акаунт
    3. Проверете директорията wp-content/plugins – ако в нея видите нещо като hide-user или hide-user.php, най-вероятно сте засегнати, а вътре ще видите потребителското име на вече създадения администратоски акаунт

    Самият плъгин е делистнат без предупреждение от WordPress – които дори не са уведомили авторите му за уязвимостта (а може би трябваше, за да бъде своевременно отстранена). Според екипа разработчици, вече седмица се чака да се качи одобрената версия на модула в публичното репо с плъгини на платформата.

    Какво да правите

    Ако използвате BeyondCart, ъпдейтнете плъгина незабавно до версия 3.Х (може да я получите директно от авторите му, след като се свържете с тях тук). След това:

    1. сменете всички администраторски пароли;
    2. завъртете AUTH_KEY и SALT стойностите в wp-config.php (wp config shuffle-salts в WP CLI конзолата – като това ще изиска от всички ваши клиенти да се логнат);
    3. активирайте двуфакторна автентикация а администратори;
    4. сканирайте файловата система и базата за скрити потребители и непознати скриптове;
    5. провете за заявки от следните IP адреси:2400:9800:16c:6071:e181:be8:5a56:ce88
      172.81.132.152

    Поуката е ясна — дори „малки“ грешки в проверките могат да имат сериозни последствия, когато REST API е публично достъпен. Препоръчваме на всички клиенти да въведат мониторинг, WAF правила за ограничаване на PUT/POST заявки и одит на външните интеграции.

  • Хакери компрометират WordPress сайтове през легитимни плъгини

    Хакерите използват директорията mu-plugins (Must-Use Plugins) на WordPress, за да стартират зловреден код на всяка страница, като избягват откриването му.

    Техниката е забелязана за първи път от Sucuri през февруари 2025 г. Оттогава насам тя става все по-популярна. Към днешна дата хакерите я използват за стартирането на три различни вида зловреден код:

    • redirect.php: Пренасочва посетителите (с изключение на ботове и влезли в системата администратори) към злонамерен уебсайт – updatesnow.net. Той показва фалшив призив за актуализация на браузъра, за да ги подмами да изтеглят зловреден софтуер;
    • index.php: Webshell, който действа като задна врата, като извлича и изпълнява PHP код от хранилище на GitHub;
    • custom-js-loader.php: Зарежда JavaScript, който заменя всички изображения в сайта и превзема всички изходящи връзки, като вместо тях отваря съмнителни изскачащи прозорци.

    Случаят с Webshell е особено опасен. Той позволява на нападателите да изпълняват отдалечено команди на сървъра, да крадат данни и да извършват атаки надолу по веригата към членовете/посетителите.

    Другите два полезни товара също могат да бъдат вредни. Те накърняват репутацията на сайта и SEO резултатите му заради съмнителни пренасочвания и опит за инсталиране на зловреден софтуер.

    Mu-plugin е специален вид плъгин за WordPress, които се изпълняват автоматично при всяко зареждане на страницата, без да е необходимо да бъде активиран в административното табло. Той имат легитимни случаи на употреба, като например налагане на функционалност за целия сайт за персонализирани правила за сигурност, настройки на производителността и динамично модифициране на код.

    Този тип плъгини обаче могат да се използват за широк спектър от злонамерени дейности – кражба на идентификационни данни, инжектиране на злонамерен код или промяна на HTML изхода.

    Препоръчваме на администраторите на WordPress сайтове да:

    • прилагат актуализации на сигурността на своите плъгини и теми;
    • деактивират или деинсталират тези, които не са необходими;
    • да защитават привилегированите акаунти със силни пълномощия и MFA.
  • Malware кампания е компрометирала над 20 000 WordPress сайта по целия свят

    Malware кампания, наречена DollyWay, е компрометирала над 20 000 WordPress страници в глобален мащаб.

    Тя функционира от 2016, но постоянно се развива, като използва все по-усъвършенствани стратегии за избягване на откриването, повторно заразяване и монетизиране.

    Според GoDaddy в последната си версия кампанията действа като мащабна система за пренасочване към зловредни сайтове. В миналото тя е разпространявала вредни полезни товари като ransomware и банкови троянски коне.

    Към февруари 2025 DollyWay е генерирала 10 милиона измамни импресии месечно. Тя е пренасочвала посетителите на WordPress сайтове към фалшиви платформи за запознанства, хазарт, крипто и лотарии. Това се случва въз основа на различни аспекти като местоположение на потребителя, тип устройство и т.н.

    DollyWay е много устойчива заплаха, която автоматично заразява отново сайта при всяко зареждане на страница, което прави премахването ѝ особено трудно. Тя постига това, като разпространява своя PHP код във всички активни плъгини. Също така добавя копие на плъгина WPCode, който съдържа фрагменти от зловреден софтуер.

    Подробности за кампанията и как да разберете, че сайтът ви е заразен, можете да намерите ТУК.

  • Критична уязвимост в плъгин за WordPress позволява качването на злонамерени SVG файлове

    Критична уязвимост в плъгина за WordPress Jupiter X Core позволява на нападатели с права на contributor или по-високи да качват злонамерени SVG файлове и да изпълняват отдалечено код. Той е използван в над 90 000 уебсайта и има CVSS оценка 8.8 от 10.

    От Wordfence обясняват, че уязвимостта произтича от неправилно обработване на качените SVG файлове. Тя позволява на атакуващите да качват специално създадени такива, съдържащи PHP код. По този начин те могат да заобиколят контрола за сигурност.

    Потребителите на Jupiter X Core трябва:

    • незабавно да актуализират до версия 4.8.8;
    • да активират автоматичните актуализации за плъгини и теми, когато е възможно, за да се предотврати използването на уязвимостта;
    • редовно да одитират инсталираните плъгини и да премахват неизползваните или остарелите такива.
  • Новооткрит плъгин за WordPress създава фалшиви платежни страници! Ето как да се предпазите

    Плъгин за WordPress, наречена PhishWP, се използва от киберпрестъпници за създаване на фалшиви страници за плащания. Те имитират легитимни услуги като Stripe, което позволява кражба на чувствителни финансови и лични данни.

    Зловредният плъгин е забелязан от SlashNext в руски форум за киберпрестъпност. Той позволява на нападателите да генерират убедителни интерфейси за плащане. По този начин те могат да крадат данни за кредитни карти, адреси за фактуриране и дори еднократни пароли от жертвите. След като информацията бъде въведена, PhishWP предава откраднатите данни директно на нападателите чрез Telegram, често в реално време.

    Киберпрестъпниците внедряват PhishWP или чрез компрометиране на съществуващи WordPress сайтове, или чрез създаване на фалшиви такива. Дизайнът на плъгина възпроизвежда точно легитимни страници за плащане, което затруднява потребителите да открият измамата.

    В случаите, когато има активиран 3DS код, плъгинът включва и изскачащ прозорец за попълването му. По този начин той също се изпраща към нападателят, заедно с данни като IP адрес, информация за браузъра и т.н.

    Не на последно място, плъгинът включва и функционалност, която изпраща на жертвата имейл за потвърждение с данните за нейната поръчка. Тази функционалност превръща PhishWP в изключително успешен инструмент за кражба на информация.

    За да се предпазите от заплахи като PhishWP, използвайте усъвършенствани софтуери за защита от фишинг, базирани на браузъра. Те откриват заплахи в реално време, като блокират злонамерени URL адреси във всички основни платформи. Освен това идентифицират опитите за фишинг преди да бъдат компрометирани чувствителни данни.

  • Плъгин за WordPress, инсталиран на повече от 4 млн. уебсайта, позволява пълното им превземане от нападатели

    Уязвимост в плъгина за WordPress Really Simple Security позволява на потенциални нападатели пълното превземане на страници. Той е инсталиран на повече от 4 милиона уебсайта. 

    Уязвимостта дава възможност на атакуващия да получи отдалечен достъп до всеки акаунт, включително администраторския, когато е активирана 2FA. Компанията за киберсигурност Wordfence я определя като „една от най-сериозните“, които са идентифицирани някога 

    Оценена с критична CVSS оценка от 9,8, тя засяга плъгините Really Simple Security Pro и Pro Multisite, версии от 9.0.0 до 9.1.1.1. 

    На 12 ноември е пусната актуализирана версия 9.1.2. Два дни по-късно тя е въведена автоматично за всички сайтове, използващи плъгина. 

    Все пак препоръчваме всеки администратор на WordPress сайт, който използва Really Simple Security, да се увери лично. Страниците без валиден лиценз може да нямат функциониращи автоматични актуализации. 

     

  • Хакери превръщат WordPress сайтове в инструмент за кражба на информация. Проверете плъгините си!

    От юни 2024 досега хакери са проникнали в над 6000 сайта в WordPress в рамките на най-новата версия на кампанията за социално инженерство ClickFix.

    Тя инсталира злонамерени плъгини, показващи фалшиви предупреждения за софтуерни грешки с включени поправки и покани за актуализация на браузъра. Въпросните „поправки“ и актуализации обаче са PowerShell скриптове, които инсталират зловреден софтуер за кражба на информация, предупреждават от хостинг компанията Go Daddy.  

    Тези привидно легитимни плъгини са проектирани така, че да изглеждат безвредни за администраторите. Някои от тях използват имена, подобни на официални приставки като Wordfense Security и LiteSpeed Cache. 

    По този начин вашият сайт може да се превърне в оръжие в ръцете на киберпрестъпници, без да имате ни най-малка представа. Съветваме ви, ако работите с WordPress, незабавно да прегледате списъка с инсталираните плъгини. Премахнете всички, които не сте инсталирали вие. 

    Ако откриете подобни плъгини, трябва също така незабавно да смените паролата си за достъп до административния панел. 

     

  • Усъвършенстван зловреден софтуер атакува потребителите през уязвимости в GLPI и WordPress

    Новооткрит зловреден софтуер се възползва от уязвимости в GLPI, система за управление на ИТ активи, и уебсайтове на WordPress, за да събира чувствителна информация от заразените устройства. 

    Според компанията за киберсигурност QiAnXin DarkCracks е изключително усъвършенстван и може да остане скрит дори от най-напредналите инструменти за киберсигурност изключително дълго време. Освен че заразява устройствата, той ги използва като стартова площадка за разполагане на допълнителни зловредни компоненти и разпространение към други жертви 

    DarkCracks е проектиран за дългосрочна експлоатация и се адаптира към промените, оставайки оперативен, когато части от него са открити и премахнати. Зловредният софтуер може да функционира, дори ако основните му сървъри бъдат изведени от строя. 

    За да се защитите от тази напреднала заплаха: 

    • Актуализирайте редовно целия си софтуерен стак и системи, за да сте сигурни, че известните уязвимости са отстранени;  
    • наблюдавайте мрежовия трафик за необичайна активност, включително неочаквани връзки към външни сървъри; 
    • използвайте усъвършенстваните инструменти за откриване, способни да разпознават многопластовите техники за замаскиране на DarkCracks. 
  • Критична уязвимост в популярен плъгин за WordPress позволява кражба на акаунти

    Новооткрит критичен недостатък в сигурността на плъгина за WordPress LiteSpeed Cache позволява на неупълномощени потребители да поемат контрол над произволни акаунти. 

    Уязвимостта, заведена от Patchstack като CVE-2024-44000 (CVSS оценка: 7,5), засяга версия 6.4.1. и предходни версии, но е отстранена във 6.5.0.1. Тя позволява на неоторизирани потребители достъп до системата, като в най-лошия случай те могат да получат дори администраторски права и да инсталират злонамерени плъгини. 

    CVE-2024-44000 е свързана с това, че Debug Log File с име „/wp-content/debug.log“ е публично  достъпен, което дава възможност на нападателите да преглеждат потенциално чувствителна информация, съдържаща се във файла. 

    LiteSpeed Cache е популярен плъгин за кеширане за екосистемата на WordPress с над 5 милиона активни инсталации. Така че, ако го използвате в някоя от засегнатите версии на платформата: 

    • проверете инсталациите си за наличието на „/wp-content/debug.log“ и вземете мерки за изчистването им, ако функцията е (или е била) активирана; 
    • задайте правило .htaccess, за да се забрани директният достъп до log файла. 
Back to top button