Хакеры прячут малварь в WordPress с помощью MU-Plugins

Аналитики Sucuri обнаружили, что хакеры используют директорию MU-plugins (Must-Use Plugins) в WordPress, чтобы скрывать вредоносный код и запускать его, избегая обнаружения.

Впервые эта техника была замечена в феврале 2025 года, но темпы ее внедрения растут, и в настоящее время злоумышленники злоупотребляют MU-plugins для запуска трех различных типов вредоносного кода.

👉 https://xakep.ru/2025/04/01/mu-plugins-malware/

#wordpress #security #malware

🦄 WordPress Digest - Подписаться

Вышла версия 0.2.0 плагина Kinescope

Сервис Kinescope — это экосистема видео-решений для бизнеса любого размера, позволяющая обрабатывать онлайн-видео на каждом шагу. От видеоплеера до инфраструктуры — профессиональные видеорешения доступны каждому.

Плагин Kinescope под WordPress позволяет встраивать видео с данной плащадки просто по ссылке.

Что нового в этом релизе?

- Добавлен виджет KinescopeVideo для конструктора страниц Elelementor
- Добавлена возможность вставки ссылок на ролики в редактор Gutenberg
- Добавлена возможность вставки ссылок на ролики в редактор TinyMCE
- Сиправлены мелкие ошибки и недочёты

Что нас ждёт в следующих релизах?

- Отдельный виджет для коструктора страниц BricksBuilder
- Отдельный блок для редактора Gutenberg
- Отдельный виджет для коструктора страниц Divi
- Отдельный виджет для коструктора страниц VisualComoser

👉 https://ru.wordpress.org/plugins/kinescope/

#wordpress #plugins #kinescope

🦄 WordPress Digest - Подписаться

Кардерский скрипт из PyPI использовал WooCommerce для проверки украденных карт

В Python Package Index (PyPI) нередко обнаруживают малварь, но найденный недавно пакет disgrasya отличается от большинства таких случаев. Пакет был установлен более 34 000 раз и использовал легитимные интернет-магазины на базе WooCommerce для проверки ворованных банковских карт.

👉 https://xakep.ru/2025/04/07/disgrasya/

#wordpress #woocommerce

🦄 WordPress Digest - Подписаться

Вышел WordPress 6.8 "Сесил"

Каждый выпуск WordPress посвящен артисту, оставившему неизгладимый след в музыке. WordPress 6.8, получивший кодовое название «Сесил», посвящен легендарному пианисту и пионеру джаза Сесилу Тейлору.

Получивший классическое образование, но при этом неустанно проявлявший нестандартность, Тейлор переосмыслил фортепиано как ударный инструмент, соединив кластеры тонов, полифонию и ритм в хаотичное и точное звучание. Его музыка бросала вызов ожиданиям, находя форму в беспорядке и гармонию в диссонансе.

Этот же дух движет и WordPress 6.8. Примите его смелые новые возможности с тем же любопытством и экспериментами, которые определяли звучание Сесила.

👉 https://wordpress.org/news/2025/04/cecil/

#wordpress #core #news

🦄 WordPress Digest - Подписаться

Плагин "Events Tracker для Elementor" снова онлайн

Восстановлена работоспособность нашего популярного плагина для отслеживания событий и конверсий на сайтах с конструктором страниц Elementor. Плагин снова вернулся в репозиторий wp.org.

Идеи и предложения приветствуются!

PS: на очереди плагин "Russian marketplaces for WooCommerce"

👉 https://ru.wordpress.org/plugins/events-tracker-for-elementor/

#wordpress #elementor

🦄 WordPress Digest - Подписаться

Спекулятивная загрузка в WordPress 6.8

В WordPress 6.8 функция спекулятивной загрузки интегрирована в ядро. Эта новинка может обеспечить почти мгновенную загрузку страниц за счёт предварительной загрузки браузером до того, как пользователь перейдёт по ссылке.

Функция спекулятивной загрузки до внедрения в WordPress Core успешно использовалась на 50 000+ сайтах через плагин Speculative Loading. По данным HTTP Archive и CrUX, она улучшила LCP на ~2%.

Speculation Rules API появился в 2023 году и используется уже в 8% навигаций в Chrome. Cloudflare также внедрил его через функцию Speed Brain.

👉 https://wp-kama.ru/id_17365/speculative-loading.html

#wordpress #core #SpeculativeLoading

🦄 WordPress Digest - Подписаться

Плагин Russian marketplaces for WooCommerce снова онлайн

Продаёте на маркетплейсах? Свяжите ваш магазин на WooCommerce с ними и продавайте больше. Плагин позволяет добавить кнопки-ссылки на этот же товар размещённый на маркетплейсах.

Так у покупателей есть выбор купить в вашем магазине или у вас же, но на популярных площадках, которым он больше доверяет или там удобнее доставка.

Связь с какими маркетплейсами поддерживается

- Wildberries
- Ozon
- Яндекс Маркет
- Авито
- Lamoda
- СберМегаМаркет
- Ярмарка мастеров
- Aliexpress

👉 https://ru.wordpress.org/plugins/russian-marketplaces-for-woocommerce/

#wordpress #woocommerce #plugins

🦄 WordPress Digest - Подписаться

Мошеннические плагины для WordPress генерируют 1,4 млрд рекламных запросов в день

Эксперты компании Human обнаружили масштабную мошенническую кампанию Scallywag. С ее помощью пиратские сайты и ресурсы с короткими URL получают монетизацию, используя для этого специальные WordPress-плагины, генерирующие миллиарды мошеннических запросов в день.

👉 https://xakep.ru/2025/04/22/scallywag/

#wordpress #security

🦄 WordPress Digest - Подписаться

Вышел WordPress 6.8.1

Этот минорный выпуск содержит исправления 15 ошибок в ядре и редакторе блоков, затрагивающие различные области WordPress, включая редактор блоков, многосайтовость и REST API. Полный список исправлений можно найти в анонсе релиза-кандидата.

👉 https://wordpress.org/news/2025/04/wordpress-6-8-1-maintenance-release/

#wordpress #core #news

🦄 WordPress Digest - Подписаться

Весна в WPShop — время обновлений и вдохновения!

Пока природа пробуждается, самое время обновить и ваш сайт!

Весенний промо 20% скидка на ВСЁ!

Темы, плагины, лицензии, готовые решения — всё, что нужно, чтобы ваш сайт стал таким же ярким и живым, как весной цветущая сирень.

Пусть с теплом приходят новые идеи, а цели расцветают с каждым шагом.

А мы, как всегда, рядом — с инструментами, которые помогут вам достигать результата.

👉 https://wpshop.ru/

#wordpress #sales #wpshop

🦄 WordPress Digest - Подписаться

Плагин для WordPress OttoKit стал мишенью для массовых атак

Хакеры эксплуатируют критическую уязвимость повышения привилегий в плагине OttoKit (ранее SureTriggers) для WordPress для создания новых учетных записей администраторов на уязвимых сайтах.

👉 https://xakep.ru/2025/05/12/new-ottokit-bug/

#wordpress #security #plugins

🦄 WordPress Digest - Подписаться

WordPress на SQLite

WordPress обычно работает с MySQL или MariaDB, но SQLite тоже поддерживается, хотя и не официально.

В этой заметке рассмотрим как установить WordPress с SQLite и когда это может пригодиться.

👉 https://wp-kama.ru/note/sqlite-for-wordpress

#wordpress #sqlite

🦄 WordPress Digest - Подписаться

📺 Bricks Builder 2.0 Первый взгляд на революционное обновления

Уже сегодня в 19:00 по Москве приглашаем на онлайн-конференцию, посвящённую свежей версии BricksBuilder 2.0 Beta!

В прямом эфире мы:

- Покажем новые возможности и фишки
- Разберёмся с обновлённым интерфейсом
- Ответим на все вопросы в чате
- Поделимся советами и личными впечатлениями

Это отличный шанс первым узнать о самых интересных изменениях и получить максимум пользы для своей работы!

👉 https://youtube.com/live/jtpafETIGJo?feature=share

#wordpress #bricks #BricksBuilder

🦄 WordPress Digest - Подписаться

Linux Foundation запускает децентрализованный менеджер плагинов для WordPress

В свете юридического конфликта между холдингом Automattic и WP Engine, группа бывших разработчиков WordPress при поддержке Linux Foundation запустила FAIR Package Manager — независимую систему распространения доверенных плагинов и тем для WordPress.

👉 https://xakep.ru/2025/06/11/fair-package-manager/

#wordpress #linux #fairpm

🦄 WordPress Digest - Подписаться

View Transitions – новый плагин от команды WordPress Performance

Команда WordPress Performance выпустила новый экспериментальный плагин, который позволяет сделать сайт приближенным по скорости загрузки к одностраничному приложению (Single Page Application). Анонсировал новый проект Феликс Арнц, участник WordPress Performance Team и программист Google.

Плагины, издаваемые под вывеской WordPress Performance Team, создаются с целью тестирования новых улучшений производительности, прежде чем указанный функционал «поселится» в ядре WordPress – в том или ином виде.

👉 https://oddstyle.ru/wordpress-2/wordpress-plaginy/view-transitions-novyj-plagin-ot-komandy-wordpress-performance.html

#wordpress #plugins #performance

🦄 WordPress Digest

Популярная тема для WordPress позволяет менять пароли пользователей

Злоумышленники эксплуатируют критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.

Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце предупреждала о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.

👉 https://xakep.ru/2025/06/24/motors-under-attacks/

#wordpress #security #motors

🦄 WordPress Digest

bcrypt и BLAKE2b: Новый алгоритм хеширования паролей в WordPress 6.8

В WordPress 6.8 пароли будут хешироваться через bcrypt, а не через phpass. Взлом таких хешей требует гораздо больше ресурсов.
Пароли приложений, ключи сброса пароля, ключи запросов персональных данных и режима восстановления перейдут на алгоритм BLAKE2b.

👉️ https://wp-kama.ru/id_17550/new-bcrypt-blake2b-algo.html

#wordpress #security

🦄 WordPress Digest

Разработчик WordPress-плагина Gravity Forms взломан. Плагин оснастили бэкдором

Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок. В результате установщики с официального сайта оказались заражены бэкдором.

Gravity Forms — это премиум-плагин для создания контактных, платежных и прочих онлайн-форм. Согласно официальной статистике, он установлен примерно на миллионе сайтов, некоторые из которых принадлежат таким известным организациям, как Airbnb, Nike, ESPN, Unicef и Google.

👉 https://xakep.ru/2025/07/14/gravity-forms-backdoor/

#wordpress #security #GravityForms

🦄 WordPress Digest

Под капотом WordPress — разбираем движок и изучаем инструменты

Привет, Habr! Меня зовут Ольга Глеклер. Я уже более 12 лет в веб-разработке. Начинала писать с нуля, работала с различными CMS, последние 8 лет преимущественно с WordPress и уже около 6 лет являюсь контрибьютором. Работала в таких компаниях, как Epam и Yadro. Выступала на конференции HighLoad++. Сегодня расскажу о возможностях WordPress и как это реализовано «под капотом».

👉 https://habr.com/ru/companies/oleg-bunin/articles/918932/

#wordpress #core

🦄 WordPress Digest

WPGPT — наш новый ИИ-помощник для контента!

Мы запустили WPGPT — плагин для WordPress, который помогает создавать тексты быстрее и дешевле, анализируя конкурентов и выдавая действительно качественный результат.

Он уже прошёл закрытое бета-тестирование и показал себя отлично. Вот что говорит один из участников:
«Это лучше, чем абсолютно любой текст от авторов (если их можно так назвать) с фриланса и, я бы сказал, лучше некоторых ответственных авторов, с кем доводилось работать за последние пару лет» — Дмитрий, участник бета-теста.

Что умеет WPGPT:

- Анализирует конкурентов и помогает писать уникальный, релевантный контент
- Генерирует тексты, комментарии и мета-теги
- Использует свежие модели ChatGPT и работает на нескольких языках

Для работы плагина используются лимиты — условные единицы, которые расходуются при запросах к ИИ и конкурентам.

Сегодня WPGPT доступен для всех! Присоединяйтесь, тестируйте и помогайте нам сделать его ещё лучше.

👉 https://wpshop.ru/plugins/wpgpt

#wordpress #WPGPT #plugins #wpshop

🦄 WordPress Digest