❗️Критическая уязвимость в WordPress-плагине Jetpack угрожает 27 млн сайтов
Разработчики популярного плагина Jetpack выпустили патч для критической уязвимости, которая позволяла вошедшему в систему пользователю получить доступ к формам, отправленным другими посетителями сайта. Ситуация осложняется тем, что плагин установлен на 27 млн сайтов.
Сообщается, что проблема была обнаружена в ходе внутреннего аудита и затрагивает все версии Jetpack, начиная с 3.9.9, выпущенной еще в 2016 году.
👉 https://xakep.ru/2024/10/16/jetpack-bug/
#wordpress #security #plugins #jetpack
🦄 WordPress Digest - Подписаться
Разработчики популярного плагина Jetpack выпустили патч для критической уязвимости, которая позволяла вошедшему в систему пользователю получить доступ к формам, отправленным другими посетителями сайта. Ситуация осложняется тем, что плагин установлен на 27 млн сайтов.
Сообщается, что проблема была обнаружена в ходе внутреннего аудита и затрагивает все версии Jetpack, начиная с 3.9.9, выпущенной еще в 2016 году.
👉 https://xakep.ru/2024/10/16/jetpack-bug/
#wordpress #security #plugins #jetpack
Please open Telegram to view this post
VIEW IN TELEGRAM
😱5👍1🔥1🤔1
CVE со скоростью света. Исправляем публичный эксплоит для LiteSpeed Cache
Сегодня я разберу уязвимость в LiteSpeed Cache — популярном плагине для ускорения работы сайтов. Плагин работает с движками WooCommerce, bbPress, ClassicPress и Yoast, на сегодня у него более пяти миллионов установок. Давай посмотрим, как генерация недостаточно качественных случайных чисел привела к возможности повысить привилегии до админа.
👉 https://xakep.ru/2024/11/27/litespeed-cve/
#wordpress #security
🦄 WordPress Digest - Подписаться
Сегодня я разберу уязвимость в LiteSpeed Cache — популярном плагине для ускорения работы сайтов. Плагин работает с движками WooCommerce, bbPress, ClassicPress и Yoast, на сегодня у него более пяти миллионов установок. Давай посмотрим, как генерация недостаточно качественных случайных чисел привела к возможности повысить привилегии до админа.
👉 https://xakep.ru/2024/11/27/litespeed-cve/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Критическая уязвимость в плагине Anti-Spam от CleanTalk
Почти 200.000 сайтов на WordPress затронуты критической уязвимостью проверки подлинности в плагине от CleanTalk для борьбы со спамом.
Срочно всем обновить плагин!
👉 https://www.wordfence.com/?p=36253
#wordpress #security #cve
🦄 WordPress Digest - Подписаться
Почти 200.000 сайтов на WordPress затронуты критической уязвимостью проверки подлинности в плагине от CleanTalk для борьбы со спамом.
Срочно всем обновить плагин!
👉 https://www.wordfence.com/?p=36253
#wordpress #security #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
😱2❤1
В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей
Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.
Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.
👉 https://xakep.ru/2024/12/26/wplms-flaws/
#wordpress #security #wplms
🦄 WordPress Digest - Подписаться
Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.
Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.
👉 https://xakep.ru/2024/12/26/wplms-flaws/
#wordpress #security #wplms
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4👍1
Ошибка в плагине WPForms позволяет возвращать деньги через Stripe на миллионах сайтов
В WordPress-плагине WPForms, который используют более 6 млн сайтов, нашли уязвимость, позволяющую пользователям осуществлять произвольные возвраты средств через Stripe или отменять подписки.
WPForms — это конструктор форм для WordPress, который позволяет создавать формы для обратной связи, подписки и оплаты, а также поддерживает Stripe, PayPal, Square и другие платежные системы.
Проблема отслеживается под идентификатором CVE-2024-11205 и не считается критической, так как ее эксплуатация требует аутентификации. Однако, учитывая, что для атаки пользователю достаточно иметь права уровня subscriber, а системы регистрации доступны на большинстве уязвимых сайтов, проблема может представлять серьезную опасность.
👉 https://xakep.ru/2024/12/11/wpforms-bug/
#wordpress #security #wpforms #plugins
🦄 WordPress Digest - Подписаться
В WordPress-плагине WPForms, который используют более 6 млн сайтов, нашли уязвимость, позволяющую пользователям осуществлять произвольные возвраты средств через Stripe или отменять подписки.
WPForms — это конструктор форм для WordPress, который позволяет создавать формы для обратной связи, подписки и оплаты, а также поддерживает Stripe, PayPal, Square и другие платежные системы.
Проблема отслеживается под идентификатором CVE-2024-11205 и не считается критической, так как ее эксплуатация требует аутентификации. Однако, учитывая, что для атаки пользователю достаточно иметь права уровня subscriber, а системы регистрации доступны на большинстве уязвимых сайтов, проблема может представлять серьезную опасность.
👉 https://xakep.ru/2024/12/11/wpforms-bug/
#wordpress #security #wpforms #plugins
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔5😱2
Домен wp3[.]xyz связали со взломом 5000 сайтов на WordPress
Обнаружена новая вредоносная кампания, жертвами которой уже стали более 5000 сайтов под управлением WordPress.
Хакеры создают новые учетные записи администраторов, устанавливают на сайты вредоносные плагины и крадут данные.
👉 https://xakep.ru/2025/01/15/wordpress-xyz-attacks/
#wordpress #security
🦄 WordPress Digest - Подписаться
Обнаружена новая вредоносная кампания, жертвами которой уже стали более 5000 сайтов под управлением WordPress.
Хакеры создают новые учетные записи администраторов, устанавливают на сайты вредоносные плагины и крадут данные.
👉 https://xakep.ru/2025/01/15/wordpress-xyz-attacks/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4❤1🥰1🤔1
Серьезная уязвимость в плагине W3 Total Cache угрожает миллиону сайтов на WordPress
Уязвимость в плагине W3 Total Cache, который установлен более чем на миллионе сайтов под управлением WordPress, позволяет злоумышленникам получить доступ к различной информации, включая метаданные облачных приложений.
👉 https://xakep.ru/2025/01/17/w3-total-cache-bug/
#wordpress #plugins #security #w3tc
🦄 WordPress Digest - Подписаться
Уязвимость в плагине W3 Total Cache, который установлен более чем на миллионе сайтов под управлением WordPress, позволяет злоумышленникам получить доступ к различной информации, включая метаданные облачных приложений.
👉 https://xakep.ru/2025/01/17/w3-total-cache-bug/
#wordpress #plugins #security #w3tc
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔5😱2🥰1
Настройка fail2ban для защиты WordPress
Мы уже рассматривали плагин Limit Login Attempts, который защищает WordPress от перебора паролей. В этой статье мы рассмотрим альтернативный подход на системном уровне с помощью популярной программы fail2ban.
Обратите внимание, что данная статья нацелена на пользователей VPS хостинга и владельцев выделенных серверов. Для установки и настройки fail2ban вам потребуется root-доступ к вашему хостинг-аккаунту и базовые навыки системного администрирования.
👉 https://wpmag.ru/2014/fail2ban-wordpress/
#wordpress #security #f2b
🦄 WordPress Digest - Подписаться
Мы уже рассматривали плагин Limit Login Attempts, который защищает WordPress от перебора паролей. В этой статье мы рассмотрим альтернативный подход на системном уровне с помощью популярной программы fail2ban.
Обратите внимание, что данная статья нацелена на пользователей VPS хостинга и владельцев выделенных серверов. Для установки и настройки fail2ban вам потребуется root-доступ к вашему хостинг-аккаунту и базовые навыки системного администрирования.
👉 https://wpmag.ru/2014/fail2ban-wordpress/
#wordpress #security #f2b
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2
В 2024 году в экосистеме WordPress обнаружили 8000 уязвимостей
В прошлом году ИБ-исследователи обнаружили 7966 новых уязвимостей в экосистеме WordPress, большинство из которых затрагивали плагины и темы, сообщили аналитики компании Patchstack, специализирующиеся на безопасности WordPress.
👉️ https://xakep.ru/2025/03/19/wordpress-bugs-2024/
#wordpress #security
🦄 WordPress Digest - Подписаться
В прошлом году ИБ-исследователи обнаружили 7966 новых уязвимостей в экосистеме WordPress, большинство из которых затрагивали плагины и темы, сообщили аналитики компании Patchstack, специализирующиеся на безопасности WordPress.
👉️ https://xakep.ru/2025/03/19/wordpress-bugs-2024/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2❤1
Хакеры прячут малварь в WordPress с помощью MU-Plugins
Аналитики Sucuri обнаружили, что хакеры используют директорию MU-plugins (Must-Use Plugins) в WordPress, чтобы скрывать вредоносный код и запускать его, избегая обнаружения.
Впервые эта техника была замечена в феврале 2025 года, но темпы ее внедрения растут, и в настоящее время злоумышленники злоупотребляют MU-plugins для запуска трех различных типов вредоносного кода.
👉 https://xakep.ru/2025/04/01/mu-plugins-malware/
#wordpress #security #malware
🦄 WordPress Digest - Подписаться
Аналитики Sucuri обнаружили, что хакеры используют директорию MU-plugins (Must-Use Plugins) в WordPress, чтобы скрывать вредоносный код и запускать его, избегая обнаружения.
Впервые эта техника была замечена в феврале 2025 года, но темпы ее внедрения растут, и в настоящее время злоумышленники злоупотребляют MU-plugins для запуска трех различных типов вредоносного кода.
👉 https://xakep.ru/2025/04/01/mu-plugins-malware/
#wordpress #security #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4👍2🔥1