8 Апрель 2015

Уязвимость в плагине WP Super Cache

Автор: admin. Рубрика: IT .

Эта информация, в основном, касается владельцев сайтов на WordPress. Очередная уязвимость сайтов на Вордпресс. В зоне риска около 1 млн. сайтов.

Большинство вебмастеров знают, что на сайте необходим плагин кэширования (для ускорения сайта). И очень часто таким плагином кэширования, помимо Hyper Cache, является популярный WP Super Cache.

По мнению ребят, занимающихся безопасностью из компании Sucuri, в данном плагине обнаружена уязвимость к XSS (межсайтовому скриптингу). Хакерская атака может привести к тому, что в код HTML-страницы, создаваемой плагином WP Super Cache, будет внедрен вредоносный скрипт.

WP Super Cache

Да, собственно, даже никакой хакерской атаки и не надо. При помощи функции get_wp_cache_key() можно легко заразить сайт. Уязвимости присвоен высокий уровень опасности: 8 из 10.

Кому интересно, можете более подробно прочесть об этой уязвимости на сайте Sucuri. Правда, пост на английском. Ссылку скопировать и вставить в браузер.

http://blog.sucuri.net/2015/04/security-advisory-persistent-xss-in-wp-super-cache.html?utm_content=13772053&utm_medium=social&utm_source=twitter

Если не хочется разбираться, то всё, что нужно знать - это то, что заразить сайт очень легко, внедрив сторонний (обычно вредоносный) код в страницу, используя уязвимость в WP Super Cache.

Уязвимость исправлена в версии плагина WP Super Cache 1.4.4

Поэтому, у кого версия ниже - срочно обновляться.

Я использую на данном сайте именно WP Super Cache, обновился я раньше и сейчас установлена безопасная версия 1.4.4

По опыту знаю, с прошлогоднего заражения сайта, что все посторонние внедрения на сайте лечатся тяжело и сложно. Лучше этого не допускать. Регулярно делайте бэкапы, вовремя обновляйте движок сайта и плагины, и всё будет ОК.

И раз уж речь зашла о WP Super Cache, то сообщу следующее: плагин пускает комментарии на сайт с задержкой или пока я не удалю кэш. Поэтому, все комменты появятся, никуда не денутся. Дело в том, что я, как-то перенастраивал плагин и настроил его вот так, а теперь и сам не помню, как сделать так, чтобы комменты сразу публиковались без моего вмешательства.



2 отзывов пока...

Татьяна Белая пишет:

09 Апр 2015 в 10:49.

Многие плагины для WordPress уязвимы к атакам. Таким местом как-то был простой слайд-шоу который есть почти на каждом блоге. Всегда надо доверять и проверять. Иногда хостинг провайдеры сами указывают на уязвимость на сайте и исправляют ее – респект таким провайдерам

[Ответить]

admin Ответил:

@Татьяна Белая, это верно. Когда-то здесь на сайте стоял плагин “Одна кнопка” (социальные значки). Так вот: однажды, мне Яндекс прислал уведомление, что сайт заражен, предупредил, чтобы я убрал посторонний код, пригрозил санкциями. В переписке с Платоном Щукиным выснилось, что заражен плагин “Одна кнопка”. Я его удалил, поставил те кнопки, что сейчас стоят, а Яндекс быстренько стал относиться к сайту по-доброму.

[Ответить]

Ваш отзыв

  1. Комментарии, содержащие нецензурную брань, грубейшие грамматические ошибки или албанскую лексику, удаляются.
  2. В поле "Сайт" можно указывать только ссылку на главную страницу вашего сайта/блога. Ссылки на прочие веб-ресурсы или партнерские ссылки будут удалены.
  3. Запрещается использовать в качестве имени комментатора слоганы/названия сайтов, рекламные фразы, адреса сайтов. Просьба указывать нормальное имя или ник.
  4. Короткие, бессмысленные кoммeнтapии, типа "Спасибо!", "Интересная статья", будут удалены.
  5. Комментарии не по теме, спам, любая реклама в сообщениях будут удаляться.
  6. Владелец сайта имеет право удалить любой комментарий без объяснения причин.
  7. Любые оскорбления, осуждения, нелицеприятные суждения, угрозы, высмеивания, направленные в адрес владельца сайта или других комментаторов, будут немедленно удаляться.

Рубрики

Последние записи

Последние комментарии

Создай свой сайт !

Архивы

Смотри на YouTube !

Подпишитесь на канал fotoblur в YouTube и получайте новые видео !