WordPress

Проблема PHP представляет опасность для сайтов на WordPress и не только

Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов, работающих под управлением CMS WordPress. Исправления…

Вредоносная реклама распространяется через 10 000 взломанных сайтов на WordPress

Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взломанных сайтов на WordPress еженедельно…

Удаленное удаление. Как захватить контроль над WordPress, заставив его стереть файл

В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл,…

Внеплановое обновление для WordPress устранило две критические уязвимости

Разработчики WordPress выпустили внеочередное обновление для своей CMS, которое исправило две критических уязвимости и почти два десятка других проблем.

В WordPress нашли неисправленную уязвимость

Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Официального патча для этой проблемы пока нет, хотя разработчиков проинформировали о…

Вредонос «Баба Яга» обновляет взломанные WordPress-сайты

Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только…

Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности

Специалисты ThreatPress обнаружили, что e-commerce плагины производства компании Multidots содержат уязвимости и опасны для пользователей. К сожалению, разработчики не смогли…

Хакеры научились устанавливать на сайты с WordPress плагины с бэкдорами

Злоумышленники используют плохо защищенные аккаунты WordPress.com и плагин Jetpack для установки плагинов с бэкдорами на различные сайты.

Вредоносный PHP-скрипт спамерского ботнета обнаружен на 5000 сайтов

Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайтов для перенаправления пользователей на страницы, рекламирующие…

Прессуем WordPress. Как работает новый метод «класть» сайты на WordPress

В WordPress, самой популярной CMS в мире, была найдена ошибка, которая позволяет вызывать отказ в обслуживании сайта, то есть DoS.…

Обновление для WordPress сломало функцию автоматических обновлений

Ранее на этой неделе мы предупреждали об опасном баге, который позволяет «уронить» практически любой сайт, работающий под управлением WordPress. Эта…

DoS-уязвимость в WordPress позволяет «уронить» практически любой сайт, и патча для нее нет

Независимый исследователь обнаружил критическую уязвимость, которая представляет опасность для всех версий WordPress, вышедших за последние девять лет.

Более 2000 сайтов на WordPress заражены кейлоггером и браузерным майнером

ИБ-специалисты обнаружили, что вредоносная кампания, начавшаяся еще весной 2017 года, продолжается, и к списку пострадавших прибавилось еще несколько тысяч сайтов.

Бэкдоры обнаружены еще в трех популярных плагинах для WordPress

Аналитики компании Wordfence обнаружили бэкдоры в составе еще трех плагинов для WordPress.

Сотни сайтов на WordPress используют плагины с бэкдорами, обнаруженными три года назад

Уже давно специалисты обнаружили подозрительный код в составе сразу 14 плагинов для WordPress. И хотя плагины были удалены из официального…

Зафиксированы массовые брутфорс-атаки на WordPress. Неизвестные атакуют 190 000 сайтов в час

Аналитики компании Wordfence предупредили о самой мощной волне атак на сайты, работающие под управлением WordPress, которую компании приходилось видеть. Неизвестные…

Бэкдор обнаружен в плагине Captcha для WordPress, установленном на 300 000 сайтов

Популярный плагин для WordPress, насчитывающий более 300 000 установок, недавно сменил владельца, и после этого в его составе появился бэкдор.

Вредонос Wp-Vcd распространяется через «пиратские» темы для WordPress

Вредоносная кампания, чьей главной мишенью являются сайты на базе WordPress, напрямую связана с распространением «пиратских» версий платных тем.

Кейлоггер обнаружен на 5500 сайтов, работающих под управлением WordPress

Специалисты компании Sucuri предупреждают о распространении вредоносных скриптов, ворующих данные пользователей и маскирующихся под решения компании Cloudflare.

В популярном WordPress-плагине Formidable Forms найдены и исправлены критические баги

Исследователь обнаружил сразу несколько уязвимостей в популярном плагине Formidable Forms, чье суммарное количество активных установок превышает 200 000.

Приготовься к инъекции. Раскручиваем уязвимости в WordPress, препарировав метод prepare

WordPress — самая популярная CMS в мире. На ней работает от четверти до трети сайтов, и уязвимости в ней находят…

В WordPress устранена опасная уязвимость, позволявшая осуществлять SQL-инъекции

Разработчики WordPress представили версию 4.8.3, в которой был устранен опасный баг, благодаря которому через плагины и темы было возможно осуществление…

Серверы WordPress, Joomla и JBoss взламывают и заставляют майнить Monero

Специалисты IBM X-Force подсчитали, что количество атак на корпоративные сети с целью майнинга криптовалют возросло в шесть раз за период…

В плагине Display Widgets, который уже трижды удаляли с WordPress.org, в итоге нашли бэкдор

Специалисты по информационной безопасности рассказали интересную историю, произошедшую с популярным WordPress-плагином Display Widgets, который четырежды банили на официальном сайте CMS.

Хакеры «охотятся» на незавершенные установки WordPress

Специалисты Wordfence обнаружили крупную волну атак, направленную на WordPress-сайты, происшедшую в мае-июне 2017 года.

Как обмануть почтальона. Используем почтовик Exim, чтобы выполнить произвольный код на сайтах с WordPress

Привет! Добро пожаловать в новую постоянную рубрику «Эксплоиты Давида Голунского». :) Это шутка лишь отчасти: в прошлом году Давид обнаружил…

Разработчики WordPress объявили о запуске собственной программы bug bounty

Популярнейшая CMS WordPress запускает собственную программу вознаграждения за уязвимости на HackerOne.

0-day в WordPress позволяет сбрасывать чужие пароли, и патча пока нет

Исследователь раскрыл подробности об опасной уязвимости WordPress, которую разработчики не могут устранить много месяцев.

Тысячи роутеров используются для взлома сайтов на WordPress

Специалисты Wordfence обнаружили, что уязвимые роутеры используются для брутфорса сайтов, работающих под управлением Wordpress.

Троян Sathurbot распространяется через торренты и компрометирует сайты на WordPress

Специалисты ESET обнаружили трояна Sathurbot, который заражает машины жертв, а после устраивает брутфорс-атаки на Wordpress сайты.

Обзор эксплоита: множественные XSS и отказ в обслуживании через CSRF в WordPress < 4.7.3 (видео)

В WordPress версий до 4.7.3 возможен межсайтовый скриптинг из-за отсутствия проверки пользовательских данных, а именно ID3-тегов в загружаемых аудиофайлах. Также…

Обзор эксплоитов #217. Уязвимости в WordPress, Bitbucket, MyBB и библиотеке GMP (GNU Multi-Precision) в PHP

В этом выпуске я расскажу об ошибке в десериализаторе объектов GMP в PHP, об уязвимости в сервере Bitbucket, которая позволяет,…

WordPress-плагин NextGEN Gallery уязвим перед SQL-инъекциями и установлен более 1 млн раз

Специалисты компании Sucuri обнаружили критическую уязвимость в популярном плагине для Wordpress.

Атаки на уязвимость в WordPress REST API используются для установки бэкдоров

Массовые атаки на свежую уязвимость в WordPress не ограничились одними только дефейсами.

Массовый дефейс WordPress сайтов продолжается, а уведомления Google пугают пользователей

Хакеры продолжают атаковать новую критическую уязвимость в WordPress. Взломано уже более 1,5 млн страниц.

Более 100 000 сайтов на WordPress были атакованы через свежую критическую уязвимость

В последнем обновлении WordPress был устранена опасная 0-day уязвимость. Теперь хакеры взяли баг на вооружение.

Разработчики WordPress по-тихому исправили опасную 0-day уязвимость

WordPress раскрыла подробности об уязвимости, исправленной еще 26 января 2017 года. Оказалось, это был опасный 0-day баг.

В декабре количество брутфорс-атак против сайтов на WordPress возросло вдвое

Специалисты WordFence предупредили, что в последние три недели WordPress-сайты активно брутфорсят с одних и тех же IP-адресов.

Более 8800 плагинов для WordPress содержат хотя бы одну уязвимость

Исследователи RIPS Technologies изучили 44 705 плагинов для WordPress и выяснили, что 8800 из них содержат хотя бы одну уязвимость.

Баги в механизме обновления WordPress ставят под угрозу треть всех сайтов в интернете

Исследователи в очередной раз говорят о небезопасности обновлений WordPress, однако разработчики не спешат к ним прислушаться.