Плагин WP Automatic WordPress подвергся миллионам атак с использованием SQL-инъекций
Хакеры начали использовать критическую уязвимость в плагине WP Automatic для WordPress для создания учетных записей пользователей с административными привилегиями и установки бэкдоров для долгосрочного доступа.
В настоящее время плагин WP Automatic установлен на более чем 30 000 веб-сайтов и позволяет администраторам автоматизировать импорт контента (например, текста, изображений, видео) из различных онлайн-источников и публикацию его на сайте WordPress.
Всем срочно обновиться!!!
👉 https://www.bleepingcomputer.com/news/security/wp-automatic-wordpress-plugin-hit-by-millions-of-sql-injection-attacks/
#wordpress #security #plugins
🦄 WordPress Digest - Подписаться
Хакеры начали использовать критическую уязвимость в плагине WP Automatic для WordPress для создания учетных записей пользователей с административными привилегиями и установки бэкдоров для долгосрочного доступа.
В настоящее время плагин WP Automatic установлен на более чем 30 000 веб-сайтов и позволяет администраторам автоматизировать импорт контента (например, текста, изображений, видео) из различных онлайн-источников и публикацию его на сайте WordPress.
Всем срочно обновиться!!!
👉 https://www.bleepingcomputer.com/news/security/wp-automatic-wordpress-plugin-hit-by-millions-of-sql-injection-attacks/
#wordpress #security #plugins
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯6
Android-вредонос Wpeeper эксплуатирует взломанные сайты на WordPress
Специалисты Qianxin Xlabs предупредили об Android-малвари Wpeeper, которая присутствует как минимум в двух неофициальных магазинах приложений. Wpeeper интересен тем, что использует скомпрометированные сайты под управлением WordPress в качестве ретрансляторов для своих управляющих серверов, таким способом уклоняясь от обнаружения.
👉 https://xakep.ru/2024/05/03/wpeeper/
#wordpress #security #android #wpeeper
🦄 WordPress Digest - Подписаться
Специалисты Qianxin Xlabs предупредили об Android-малвари Wpeeper, которая присутствует как минимум в двух неофициальных магазинах приложений. Wpeeper интересен тем, что использует скомпрометированные сайты под управлением WordPress в качестве ретрансляторов для своих управляющих серверов, таким способом уклоняясь от обнаружения.
👉 https://xakep.ru/2024/05/03/wpeeper/
#wordpress #security #android #wpeeper
Please open Telegram to view this post
VIEW IN TELEGRAM
😱3🔥2
WordPress Дайджест № 14 (18 апреля - 19 мая 2024)
Подборка свежих новостей, инструментов, видео и материалов из мира WordPress. Приятного чтения!
👉 https://wp-digest.com/digest/19-05-2024/
#wordpress #Core #Development #Gutenberg #Security #Themes #WooCommerce #plugins
🦄 WordPress Digest - Подписаться
Подборка свежих новостей, инструментов, видео и материалов из мира WordPress. Приятного чтения!
👉 https://wp-digest.com/digest/19-05-2024/
#wordpress #Core #Development #Gutenberg #Security #Themes #WooCommerce #plugins
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2👍2😱1
🪲 Обновление WooCommerce для устранения уязвимости межсайтового скриптинга
Вчера команда инженеров Woo выпустила важное обновление для WooCommerce. Обновление устраняет уязвимость, которая может позволить злоумышленникам внедрять вредоносный контент в браузер. Команда Woo также связалась с продавцами WooCommerce, чьи магазины могут быть уязвимы.
Всем срочно обновиться!!!
👉 https://woocommerce.com/posts/woocommerce-update-xss-vulnerability/
#wordpress #woocommerce #security
🦄 Подписаться | Помочь проекту
Вчера команда инженеров Woo выпустила важное обновление для WooCommerce. Обновление устраняет уязвимость, которая может позволить злоумышленникам внедрять вредоносный контент в браузер. Команда Woo также связалась с продавцами WooCommerce, чьи магазины могут быть уязвимы.
Всем срочно обновиться!!!
👉 https://woocommerce.com/posts/woocommerce-update-xss-vulnerability/
#wordpress #woocommerce #security
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯3👍2😱1
Уязвимость в плагине LiteSpeed Cache ставит под угрозу миллионы сайтов на WordPress
В популярном WordPress-плагине LiteSpeed Cache обнаружена критическая уязвимость, которая позволяет злоумышленникам получить доступ к ресурсу на уровне администратора.
LiteSpeed Cache — популярный плагин, который используется для повышения производительности сайтов и насчитывает более 5 млн установок, поддерживая WooCommerce, bbPress, ClassicPress и Yoast SEO.
👉 https://xakep.ru/2024/08/22/litespeed-cache-new-admin/
#wordpress #plugins #security
🦄 Подписаться
В популярном WordPress-плагине LiteSpeed Cache обнаружена критическая уязвимость, которая позволяет злоумышленникам получить доступ к ресурсу на уровне администратора.
LiteSpeed Cache — популярный плагин, который используется для повышения производительности сайтов и насчитывает более 5 млн установок, поддерживая WooCommerce, bbPress, ClassicPress и Yoast SEO.
👉 https://xakep.ru/2024/08/22/litespeed-cache-new-admin/
#wordpress #plugins #security
Please open Telegram to view this post
VIEW IN TELEGRAM
😱11👍5
❗️Критическая уязвимость в WordPress-плагине Jetpack угрожает 27 млн сайтов
Разработчики популярного плагина Jetpack выпустили патч для критической уязвимости, которая позволяла вошедшему в систему пользователю получить доступ к формам, отправленным другими посетителями сайта. Ситуация осложняется тем, что плагин установлен на 27 млн сайтов.
Сообщается, что проблема была обнаружена в ходе внутреннего аудита и затрагивает все версии Jetpack, начиная с 3.9.9, выпущенной еще в 2016 году.
👉 https://xakep.ru/2024/10/16/jetpack-bug/
#wordpress #security #plugins #jetpack
🦄 WordPress Digest - Подписаться
Разработчики популярного плагина Jetpack выпустили патч для критической уязвимости, которая позволяла вошедшему в систему пользователю получить доступ к формам, отправленным другими посетителями сайта. Ситуация осложняется тем, что плагин установлен на 27 млн сайтов.
Сообщается, что проблема была обнаружена в ходе внутреннего аудита и затрагивает все версии Jetpack, начиная с 3.9.9, выпущенной еще в 2016 году.
👉 https://xakep.ru/2024/10/16/jetpack-bug/
#wordpress #security #plugins #jetpack
Please open Telegram to view this post
VIEW IN TELEGRAM
😱5👍1🔥1🤔1
CVE со скоростью света. Исправляем публичный эксплоит для LiteSpeed Cache
Сегодня я разберу уязвимость в LiteSpeed Cache — популярном плагине для ускорения работы сайтов. Плагин работает с движками WooCommerce, bbPress, ClassicPress и Yoast, на сегодня у него более пяти миллионов установок. Давай посмотрим, как генерация недостаточно качественных случайных чисел привела к возможности повысить привилегии до админа.
👉 https://xakep.ru/2024/11/27/litespeed-cve/
#wordpress #security
🦄 WordPress Digest - Подписаться
Сегодня я разберу уязвимость в LiteSpeed Cache — популярном плагине для ускорения работы сайтов. Плагин работает с движками WooCommerce, bbPress, ClassicPress и Yoast, на сегодня у него более пяти миллионов установок. Давай посмотрим, как генерация недостаточно качественных случайных чисел привела к возможности повысить привилегии до админа.
👉 https://xakep.ru/2024/11/27/litespeed-cve/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Критическая уязвимость в плагине Anti-Spam от CleanTalk
Почти 200.000 сайтов на WordPress затронуты критической уязвимостью проверки подлинности в плагине от CleanTalk для борьбы со спамом.
Срочно всем обновить плагин!
👉 https://www.wordfence.com/?p=36253
#wordpress #security #cve
🦄 WordPress Digest - Подписаться
Почти 200.000 сайтов на WordPress затронуты критической уязвимостью проверки подлинности в плагине от CleanTalk для борьбы со спамом.
Срочно всем обновить плагин!
👉 https://www.wordfence.com/?p=36253
#wordpress #security #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
😱2❤1
В WordPress-плагинах WPLMS исправили сразу семь критических уязвимостей
Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.
Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.
👉 https://xakep.ru/2024/12/26/wplms-flaws/
#wordpress #security #wplms
🦄 WordPress Digest - Подписаться
Сразу в двух плагинах для WordPress, необходимых для работы премиум-темы WPLMS, которая насчитывает более 28 000 продаж, обнаружили более десятка уязвимостей, включая критические.
Баги позволяют удаленному злоумышленнику, не прошедшему аутентификацию, загрузить на сервер произвольные файлы, выполнить произвольный код, повысить привилегии до уровня администратора и выполнить SQL-инъекции.
👉 https://xakep.ru/2024/12/26/wplms-flaws/
#wordpress #security #wplms
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4👍1
Ошибка в плагине WPForms позволяет возвращать деньги через Stripe на миллионах сайтов
В WordPress-плагине WPForms, который используют более 6 млн сайтов, нашли уязвимость, позволяющую пользователям осуществлять произвольные возвраты средств через Stripe или отменять подписки.
WPForms — это конструктор форм для WordPress, который позволяет создавать формы для обратной связи, подписки и оплаты, а также поддерживает Stripe, PayPal, Square и другие платежные системы.
Проблема отслеживается под идентификатором CVE-2024-11205 и не считается критической, так как ее эксплуатация требует аутентификации. Однако, учитывая, что для атаки пользователю достаточно иметь права уровня subscriber, а системы регистрации доступны на большинстве уязвимых сайтов, проблема может представлять серьезную опасность.
👉 https://xakep.ru/2024/12/11/wpforms-bug/
#wordpress #security #wpforms #plugins
🦄 WordPress Digest - Подписаться
В WordPress-плагине WPForms, который используют более 6 млн сайтов, нашли уязвимость, позволяющую пользователям осуществлять произвольные возвраты средств через Stripe или отменять подписки.
WPForms — это конструктор форм для WordPress, который позволяет создавать формы для обратной связи, подписки и оплаты, а также поддерживает Stripe, PayPal, Square и другие платежные системы.
Проблема отслеживается под идентификатором CVE-2024-11205 и не считается критической, так как ее эксплуатация требует аутентификации. Однако, учитывая, что для атаки пользователю достаточно иметь права уровня subscriber, а системы регистрации доступны на большинстве уязвимых сайтов, проблема может представлять серьезную опасность.
👉 https://xakep.ru/2024/12/11/wpforms-bug/
#wordpress #security #wpforms #plugins
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔5😱2
Домен wp3[.]xyz связали со взломом 5000 сайтов на WordPress
Обнаружена новая вредоносная кампания, жертвами которой уже стали более 5000 сайтов под управлением WordPress.
Хакеры создают новые учетные записи администраторов, устанавливают на сайты вредоносные плагины и крадут данные.
👉 https://xakep.ru/2025/01/15/wordpress-xyz-attacks/
#wordpress #security
🦄 WordPress Digest - Подписаться
Обнаружена новая вредоносная кампания, жертвами которой уже стали более 5000 сайтов под управлением WordPress.
Хакеры создают новые учетные записи администраторов, устанавливают на сайты вредоносные плагины и крадут данные.
👉 https://xakep.ru/2025/01/15/wordpress-xyz-attacks/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4❤1🥰1🤔1
Серьезная уязвимость в плагине W3 Total Cache угрожает миллиону сайтов на WordPress
Уязвимость в плагине W3 Total Cache, который установлен более чем на миллионе сайтов под управлением WordPress, позволяет злоумышленникам получить доступ к различной информации, включая метаданные облачных приложений.
👉 https://xakep.ru/2025/01/17/w3-total-cache-bug/
#wordpress #plugins #security #w3tc
🦄 WordPress Digest - Подписаться
Уязвимость в плагине W3 Total Cache, который установлен более чем на миллионе сайтов под управлением WordPress, позволяет злоумышленникам получить доступ к различной информации, включая метаданные облачных приложений.
👉 https://xakep.ru/2025/01/17/w3-total-cache-bug/
#wordpress #plugins #security #w3tc
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔5😱2🥰1
Настройка fail2ban для защиты WordPress
Мы уже рассматривали плагин Limit Login Attempts, который защищает WordPress от перебора паролей. В этой статье мы рассмотрим альтернативный подход на системном уровне с помощью популярной программы fail2ban.
Обратите внимание, что данная статья нацелена на пользователей VPS хостинга и владельцев выделенных серверов. Для установки и настройки fail2ban вам потребуется root-доступ к вашему хостинг-аккаунту и базовые навыки системного администрирования.
👉 https://wpmag.ru/2014/fail2ban-wordpress/
#wordpress #security #f2b
🦄 WordPress Digest - Подписаться
Мы уже рассматривали плагин Limit Login Attempts, который защищает WordPress от перебора паролей. В этой статье мы рассмотрим альтернативный подход на системном уровне с помощью популярной программы fail2ban.
Обратите внимание, что данная статья нацелена на пользователей VPS хостинга и владельцев выделенных серверов. Для установки и настройки fail2ban вам потребуется root-доступ к вашему хостинг-аккаунту и базовые навыки системного администрирования.
👉 https://wpmag.ru/2014/fail2ban-wordpress/
#wordpress #security #f2b
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2
В 2024 году в экосистеме WordPress обнаружили 8000 уязвимостей
В прошлом году ИБ-исследователи обнаружили 7966 новых уязвимостей в экосистеме WordPress, большинство из которых затрагивали плагины и темы, сообщили аналитики компании Patchstack, специализирующиеся на безопасности WordPress.
👉️ https://xakep.ru/2025/03/19/wordpress-bugs-2024/
#wordpress #security
🦄 WordPress Digest - Подписаться
В прошлом году ИБ-исследователи обнаружили 7966 новых уязвимостей в экосистеме WordPress, большинство из которых затрагивали плагины и темы, сообщили аналитики компании Patchstack, специализирующиеся на безопасности WordPress.
👉️ https://xakep.ru/2025/03/19/wordpress-bugs-2024/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2❤1
Хакеры прячут малварь в WordPress с помощью MU-Plugins
Аналитики Sucuri обнаружили, что хакеры используют директорию MU-plugins (Must-Use Plugins) в WordPress, чтобы скрывать вредоносный код и запускать его, избегая обнаружения.
Впервые эта техника была замечена в феврале 2025 года, но темпы ее внедрения растут, и в настоящее время злоумышленники злоупотребляют MU-plugins для запуска трех различных типов вредоносного кода.
👉 https://xakep.ru/2025/04/01/mu-plugins-malware/
#wordpress #security #malware
🦄 WordPress Digest - Подписаться
Аналитики Sucuri обнаружили, что хакеры используют директорию MU-plugins (Must-Use Plugins) в WordPress, чтобы скрывать вредоносный код и запускать его, избегая обнаружения.
Впервые эта техника была замечена в феврале 2025 года, но темпы ее внедрения растут, и в настоящее время злоумышленники злоупотребляют MU-plugins для запуска трех различных типов вредоносного кода.
👉 https://xakep.ru/2025/04/01/mu-plugins-malware/
#wordpress #security #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4👍2🔥1
Мошеннические плагины для WordPress генерируют 1,4 млрд рекламных запросов в день
Эксперты компании Human обнаружили масштабную мошенническую кампанию Scallywag. С ее помощью пиратские сайты и ресурсы с короткими URL получают монетизацию, используя для этого специальные WordPress-плагины, генерирующие миллиарды мошеннических запросов в день.
👉 https://xakep.ru/2025/04/22/scallywag/
#wordpress #security
🦄 WordPress Digest - Подписаться
Эксперты компании Human обнаружили масштабную мошенническую кампанию Scallywag. С ее помощью пиратские сайты и ресурсы с короткими URL получают монетизацию, используя для этого специальные WordPress-плагины, генерирующие миллиарды мошеннических запросов в день.
👉 https://xakep.ru/2025/04/22/scallywag/
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍3😱1
Плагин для WordPress OttoKit стал мишенью для массовых атак
Хакеры эксплуатируют критическую уязвимость повышения привилегий в плагине OttoKit (ранее SureTriggers) для WordPress для создания новых учетных записей администраторов на уязвимых сайтах.
👉 https://xakep.ru/2025/05/12/new-ottokit-bug/
#wordpress #security #plugins
🦄 WordPress Digest - Подписаться
Хакеры эксплуатируют критическую уязвимость повышения привилегий в плагине OttoKit (ранее SureTriggers) для WordPress для создания новых учетных записей администраторов на уязвимых сайтах.
👉 https://xakep.ru/2025/05/12/new-ottokit-bug/
#wordpress #security #plugins
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍4😱3
Популярная тема для WordPress позволяет менять пароли пользователей
Злоумышленники эксплуатируют критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.
Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце предупреждала о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.
👉 https://xakep.ru/2025/06/24/motors-under-attacks/
#wordpress #security #motors
🦄 WordPress Digest
Злоумышленники эксплуатируют критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.
Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце предупреждала о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.
👉 https://xakep.ru/2025/06/24/motors-under-attacks/
#wordpress #security #motors
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1🤔1
bcrypt и BLAKE2b: Новый алгоритм хеширования паролей в WordPress 6.8
В WordPress 6.8 пароли будут хешироваться через bcrypt, а не через phpass. Взлом таких хешей требует гораздо больше ресурсов.
Пароли приложений, ключи сброса пароля, ключи запросов персональных данных и режима восстановления перейдут на алгоритм BLAKE2b.
👉️ https://wp-kama.ru/id_17550/new-bcrypt-blake2b-algo.html
#wordpress #security
🦄 WordPress Digest
В WordPress 6.8 пароли будут хешироваться через bcrypt, а не через phpass. Взлом таких хешей требует гораздо больше ресурсов.
Пароли приложений, ключи сброса пароля, ключи запросов персональных данных и режима восстановления перейдут на алгоритм BLAKE2b.
👉️ https://wp-kama.ru/id_17550/new-bcrypt-blake2b-algo.html
#wordpress #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥1🤯1
Разработчик WordPress-плагина Gravity Forms взломан. Плагин оснастили бэкдором
Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок. В результате установщики с официального сайта оказались заражены бэкдором.
Gravity Forms — это премиум-плагин для создания контактных, платежных и прочих онлайн-форм. Согласно официальной статистике, он установлен примерно на миллионе сайтов, некоторые из которых принадлежат таким известным организациям, как Airbnb, Nike, ESPN, Unicef и Google.
👉 https://xakep.ru/2025/07/14/gravity-forms-backdoor/
#wordpress #security #GravityForms
🦄 WordPress Digest
Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок. В результате установщики с официального сайта оказались заражены бэкдором.
Gravity Forms — это премиум-плагин для создания контактных, платежных и прочих онлайн-форм. Согласно официальной статистике, он установлен примерно на миллионе сайтов, некоторые из которых принадлежат таким известным организациям, как Airbnb, Nike, ESPN, Unicef и Google.
👉 https://xakep.ru/2025/07/14/gravity-forms-backdoor/
#wordpress #security #GravityForms
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🤯6