WordPress

Malware vs WordPress. Проверяем защитные плагины в боевых условиях

Wordpress — одна из самых распространенных систем управления сайтом и поэтому вызывает пристальный интерес у вирусописателей и взломщиков всех мастей.…

Эксперты Wordfence рассказали о масштабной операции WP-VCD, направленной на взлом WordPress

Исследователи Wordfence опубликовали отчет о WP-VCD, одной из наиболее серьезных угроз для WordPress на данный момент.

Вымогатель Sodinokibi распространяется путем создания фальшивых форумов на взломанных сайтах

Операторы шифровальщика Sodinokibi создают на взломанных WordPress-сайтах фиктивные форумы Q&A и размещают там фальшивые сообщения со ссылками на загрузку малвари.

Хакеры используют уязвимости более чем в 10 плагинах для WordPress

Уязвимости в плагинах используются для создания новых аккаунтов администраторов на сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.

Windows-малварь Clipsa ворует криптовалюту и брутфорсит сайты WordPress

Специалисты Avast обнаружили странного вредоноса Clipsa, который не только ворует и майнит криптовалюту, но и запускает на зараженных хостах брутфорс-атаки…

Баг в плагине для WordPress используется для распространения вредоносной рекламы

Аналитики компании Wordfence заметили, что XSS-уязвимость в плагине Coming Soon Page & Maintenance Mode уже используется злоумышленниками.

На взломанных WordPress-сайтах работает прокси-сервис

Взломанные сайты на WordPress заражены вредоносном Linux.Ngioweb и используются коммерческим прокси-сервисом.

Сбой WordPress.com обернулся проблемами для VIP-сайтов

VIP-платформа WordPress пережила сбой, после чего многие крупные ресурсы вернулись в строй с графической темой по умолчанию.

Уязвимость в плагине WP Live Chat Support позволяет похищать логи и внедрять сообщения в чаты

Плагин, установленный на 50 000 сайтов под управлением Wordpress, уязвим перед атаками злоумышленников.

В популярном WordPress-плагине Slick Popup обнаружен бэкдор

Эксперты Defiant обнаружили проблему в плагине Slick Popup, из-за которой злоумышленники могут проникать на уязвимые сайты и создавать бэкдор-аккаунты.

От XSS до RCE одним движением мыши. Эксплуатируем новую уязвимость в WordPress

Не прошло и месяца с последнего раза, как ребята из RIPS снова обнаружили уязвимость в WordPress. На этот раз уязвимость…

Еще один плагин для WordPress под атакой, и СМИ винят недовольного исследователя

Волна атак на плагины для WordPress продолжилась эксплуатацией уязвимости в Yellow Pencil Visual Theme Customizer.

Сайты на WordPress атакованы через уязвимость в плагине Yuzo Related Posts

Из-за XSS-уязвимости в составе плагина Yuzo Related Posts были атакованы использующие плагин сайты, включая популярный почтовый сервис Mailgun.

iOS-приложение WordPress допускало утечку аутентификационных токенов

Разработчики компании Automattic исправили опасный баг в официальном iOS-приложении WordPress.com. Аутентификационные токены пользователей были доступны сторонним сайтам.

Мошеннические всплывающие окна буквально уворачиваются от закрытия

Исследователи обратили внимание на новую тактику мошенников, из-за которой закрыть навязчивую рекламу стало еще сложнее.

Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress

Преступники используют уязвимости в плагинах Easy WP SMTP и Social Warfare, создают себе аккаунты администраторов и перенаправляют трафик на вредоносные…

XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов

Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов.

Открытка для WordPress. Захватываем контроль над сайтом, спрятав код в картинке

Сегодня я расскажу об уязвимости, дающей возможность исполнять произвольный код в самой популярной CMS в мире — Wordpress. Причина бага…

Специалисты Sucuri назвали WordPress самой взламываемой CMS года

По данным специалистов, WordPress подвергается атакам куда чаще других CMS. Обычно злоумышленники заражают такие сайты бэкдорами, вирусами и SEO-спамом.

В WordPress найдена критическая уязвимость шестилетней давности

Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все версии CMS, выпущенные за последние…

Баг в плагине для WordPress может использоваться для захвата сайтов

Уязвимость в плагине Simple Social Buttons, установленном на 40 000 сайтов, может использоваться для размещения бэкдоров и захвата контроля.

Сайты на WordPress взламывают через уязвимость нулевого дня в «заброшенном» плагине

Владельцев WordPress-сайтов, на которых установлен плагин Total Donations, просят срочно удалить его. Дело в обнаруженной уязвимости, которую уже используют хакеры.

Бывший разработчик популярного плагина для WordPress взломал его сайт ради мести

Обиженный сотрудник дефейснул сайт своей бывшей компании и разослал всем пользователям плагина WP MultiLingual письма, в которых рассказал о многочисленных…

Количество уязвимостей в WordPress утроилось в 2018 году

По данным специалистов компании Imperva, за прошедший 2018 год количество багов, связанных с WordPress, выросло на 300% и это большая…

На официальном сайте WordPress закрыли две XSS-уязвимости

Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя.

Устранены семь уязвимостей в новой версии WordPress

Вышло первое обновление безопасности для свежей ветки WordPress 5.0. Были исправлены семь критических багов, некоторые из которых позволяли перехватить контроль…

Ботнет из 20 000 сайтов на WordPress атакует другие сайты на WordPress

Специалисты Defiant нашли ботнет, состоящий из 20 000 сайтов на WordPress и брутфорсящий другие сайты.

Для взлома сайтов на WordPress снова используют брешь в популярном плагине

После публикации PoC-эксплоита для бага в плагине AMP для WordPress, уязвимые установки стали использовать для захвата сайтов.

Уязвимость в популярном плагине для WordPress эксплуатируют для захвата сайтов

В популярном плагине WP GDPR Compliance найдена 0-day уязвимость. Уже три недели злоумышленники используют баг для внедрения бэкдоров на сайты.

Баг в WordPress и уязвимость в плагине WooCommerce приводят к полной компрометации сайта

Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайтов.

Тысячи сайтов на WordPress взломаны и содержат редиректы на фальшивую техподдержку

Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взломанные ресурсы перенаправляют пользователей на сайты фальшивой…

Публикация PoC-эксплоита для популярного WordPress-плагина породила волну массовых сканов

Атакующие сканируют интернет в поисках уязвимых установок плагина Duplicator для WordPress, так как в конце августа исследователи опубликовали proof-of-concept эксплоит…

Опасный PHAR. Эксплуатируем проблемы десериализации в PHP на примере уязвимости в WordPress

В этой статье мы поговорим об особенностях уязвимостей десериализации данных в PHP, причем не простых, а реализуемых при помощи файлов…

Проблема PHP представляет опасность для сайтов на WordPress и не только

Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов, работающих под управлением CMS WordPress. Исправления…

Вредоносная реклама распространяется через 10 000 взломанных сайтов на WordPress

Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взломанных сайтов на WordPress еженедельно…

Удаленное удаление. Как захватить контроль над WordPress, заставив его стереть файл

В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл,…

Внеплановое обновление для WordPress устранило две критические уязвимости

Разработчики WordPress выпустили внеочередное обновление для своей CMS, которое исправило две критических уязвимости и почти два десятка других проблем.

В WordPress нашли неисправленную уязвимость

Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Официального патча для этой проблемы пока нет, хотя разработчиков проинформировали о…

Вредонос «Баба Яга» обновляет взломанные WordPress-сайты

Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только…

Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности

Специалисты ThreatPress обнаружили, что e-commerce плагины производства компании Multidots содержат уязвимости и опасны для пользователей. К сожалению, разработчики не смогли…