WordPress-плагины, установленные более 300 000 раз, были уязвимы перед обходом аутентификации
Опасные проблемы в плагинах WP Time Capsule и InfiniteWP позволяли захватить контроль над уязвимым ресурсом.
В популярном WordPress-плагине Jetpack исправили критическую уязвимость
Более двух лет в коде плагина Jetpack, установленного более 5 000 000 раз, присутствовала критическая уязвимость.
Malware vs WordPress. Проверяем защитные плагины в боевых условиях
Wordpress — одна из самых распространенных систем управления сайтом и поэтому вызывает пристальный интерес у вирусописателей и взломщиков всех мастей. В этой статье речь пойдет о «закладках» в коде взломанных сайтов и о технологиях их выявления.
Эксперты Wordfence рассказали о масштабной операции WP-VCD, направленной на взлом WordPress
Исследователи Wordfence опубликовали отчет о WP-VCD, одной из наиболее серьезных угроз для WordPress на данный момент.
Вымогатель Sodinokibi распространяется путем создания фальшивых форумов на взломанных сайтах
Операторы шифровальщика Sodinokibi создают на взломанных WordPress-сайтах фиктивные форумы Q&A и размещают там фальшивые соо…
Хакеры используют уязвимости более чем в 10 плагинах для WordPress
Уязвимости в плагинах используются для создания новых аккаунтов администраторов на сайтах. Затем такие учетные записи служат…
Windows-малварь Clipsa ворует криптовалюту и брутфорсит сайты WordPress
Специалисты Avast обнаружили странного вредоноса Clipsa, который не только ворует и майнит криптовалюту, но и запускает на з…
Баг в плагине для WordPress используется для распространения вредоносной рекламы
Аналитики компании Wordfence заметили, что XSS-уязвимость в плагине Coming Soon Page & Maintenance Mode уже используется зло…
На взломанных WordPress-сайтах работает прокси-сервис
Взломанные сайты на WordPress заражены вредоносном Linux.Ngioweb и используются коммерческим прокси-сервисом.
Сбой WordPress.com обернулся проблемами для VIP-сайтов
VIP-платформа WordPress пережила сбой, после чего многие крупные ресурсы вернулись в строй с графической темой по умолчанию.
Уязвимость в плагине WP Live Chat Support позволяет похищать логи и внедрять сообщения в чаты
Плагин, установленный на 50 000 сайтов под управлением Wordpress, уязвим перед атаками злоумышленников.
От XSS до RCE одним движением мыши. Эксплуатируем новую уязвимость в WordPress
Не прошло и месяца с последнего раза, как ребята из RIPS снова обнаружили уязвимость в WordPress. На этот раз уязвимость — в комментариях. Проблему усугубляет отсутствие токенов CSRF, в итоге уязвимость можно эксплуатировать, просто посетив сайт злоумышленника.
В популярном WordPress-плагине Slick Popup обнаружен бэкдор
Эксперты Defiant обнаружили проблему в плагине Slick Popup, из-за которой злоумышленники могут проникать на уязвимые сайты и…
Еще один плагин для WordPress под атакой, и СМИ винят недовольного исследователя
Волна атак на плагины для WordPress продолжилась эксплуатацией уязвимости в Yellow Pencil Visual Theme Customizer.
Сайты на WordPress атакованы через уязвимость в плагине Yuzo Related Posts
Из-за XSS-уязвимости в составе плагина Yuzo Related Posts были атакованы использующие плагин сайты, включая популярный почто…
iOS-приложение WordPress допускало утечку аутентификационных токенов
Разработчики компании Automattic исправили опасный баг в официальном iOS-приложении WordPress.com. Аутентификационные токены…
Мошеннические всплывающие окна буквально уворачиваются от закрытия
Исследователи обратили внимание на новую тактику мошенников, из-за которой закрыть навязчивую рекламу стало еще сложнее.
Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress
Преступники используют уязвимости в плагинах Easy WP SMTP и Social Warfare, создают себе аккаунты администраторов и перенапр…
Открытка для WordPress. Захватываем контроль над сайтом, спрятав код в картинке
Сегодня я расскажу об уязвимости, дающей возможность исполнять произвольный код в самой популярной CMS в мире — Wordpress. Причина бага — в недостаточной фильтрации метаданных загруженного файла: можно загрузить произвольный PHP-код в теле изображения и поместить его в папку, откуда будет возможен вызов.
XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов
Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerc…
Специалисты Sucuri назвали WordPress самой взламываемой CMS года
По данным специалистов, WordPress подвергается атакам куда чаще других CMS. Обычно злоумышленники заражают такие сайты бэкдо…
В WordPress найдена критическая уязвимость шестилетней давности
Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все…
Баг в плагине для WordPress может использоваться для захвата сайтов
Уязвимость в плагине Simple Social Buttons, установленном на 40 000 сайтов, может использоваться для размещения бэкдоров и …
Сайты на WordPress взламывают через уязвимость нулевого дня в «заброшенном» плагине
Владельцев WordPress-сайтов, на которых установлен плагин Total Donations, просят срочно удалить его. Дело в обнаруженной уя…
Бывший разработчик популярного плагина для WordPress взломал его сайт ради мести
Обиженный сотрудник дефейснул сайт своей бывшей компании и разослал всем пользователям плагина WP MultiLingual письма, в кот…
Количество уязвимостей в WordPress утроилось в 2018 году
По данным специалистов компании Imperva, за прошедший 2018 год количество багов, связанных с WordPress, выросло на 300% и эт…
На официальном сайте WordPress закрыли две XSS-уязвимости
Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя…
Устранены семь уязвимостей в новой версии WordPress
Вышло первое обновление безопасности для свежей ветки WordPress 5.0. Были исправлены семь критических багов, некоторые из ко…
Ботнет из 20 000 сайтов на WordPress атакует другие сайты на WordPress
Специалисты Defiant нашли ботнет, состоящий из 20 000 сайтов на WordPress и брутфорсящий другие сайты.
Для взлома сайтов на WordPress снова используют брешь в популярном плагине
После публикации PoC-эксплоита для бага в плагине AMP для WordPress, уязвимые установки стали использовать для захвата сайто…
Уязвимость в популярном плагине для WordPress эксплуатируют для захвата сайтов
В популярном плагине WP GDPR Compliance найдена 0-day уязвимость. Уже три недели злоумышленники используют баг для внедрения…
Баг в WordPress и уязвимость в плагине WooCommerce приводят к полной компрометации сайта
Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайто…
Тысячи сайтов на WordPress взломаны и содержат редиректы на фальшивую техподдержку
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Опасный PHAR. Эксплуатируем проблемы десериализации в PHP на примере уязвимости в WordPress
В этой статье мы поговорим об особенностях уязвимостей десериализации данных в PHP, причем не простых, а реализуемых при помощи файлов архивов PHP — PHAR. Эта техника атаки может использовать безобидные, казалось бы, функции как опасные орудия эксплуатации. И превратить, например, SSRF в выполнение произвольного кода.
Публикация PoC-эксплоита для популярного WordPress-плагина породила волну массовых сканов
Атакующие сканируют интернет в поисках уязвимых установок плагина Duplicator для WordPress, так как в конце августа исследов…
Проблема PHP представляет опасность для сайтов на WordPress и не только
Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов…
Удаленное удаление. Как захватить контроль над WordPress, заставив его стереть файл
В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл, доступный для записи пользователю, от которого работает PHP, а затем получить контроль над сайтом. В этой статье мы разберемся с причинами и посмотрим, как работает эксплуатация.
Вредоносная реклама распространяется через 10 000 взломанных сайтов на WordPress
Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взло…
Внеплановое обновление для WordPress устранило две критические уязвимости
Разработчики WordPress выпустили внеочередное обновление для своей CMS, которое исправило две критических уязвимости и почти…
В WordPress нашли неисправленную уязвимость
Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Официального патча для этой проблемы пока нет, хотя р…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире