Уязвимость WordPress позволила взломать свыше 60000 сайтов

Уязвимость WordPress уже была исправлена в новейших версия, но хотя лечебный апдейт был выпущен в конце предыдущего месяца, админы не торопятся его ставить.

Как прежде докладывал SecurityLab, в системе управления контентом (CMS) WordPress была найдена критическая уязвимость, дозволяющая исполнять SQL-инъекции. Группа помощи WordPress изготовила обновления, но сказала об этом населению не сходу. Создатели отсрочили раскрытие деталей об уязвимости на одну неделю с целью дать время админам поставить обновления.

Невзирая на все старания создателей предельно уберечь пользователей, админы веб-сайтов под управлением WordPress не торопятся ставить патч. В CMS по умолчанию активирована функция автоматической установки обновлений, но почти все админы выключают ее. Они выбирают предварительно подвергнуть проверке патч и лишь позже ставят его. В итоге тысячи вебсайтов по-прежнему в опасности, так как хакеры уже эксплуатируют слабость.

Как докладывают ученые фирмы Sucuri, первыми нашедшие проблему, злодеи стали реализовывать атаки с внедрением предоставленной уязвимости меньше чем через 48 часов спустя публикацию ее обрисовки. Специалисты закрепили по меньшей мере 4 единичные вредные кампании. В процессе одной из них хакеры удачно поменяли содержание свыше 66 тыс. web-страничек, оставив известие «Hacked by» («Взломано»). В момент других действий в общей сложности было взломано где-то 1 тыс. страничек.

Кроме дефейса, сходственные атаки имеют все шансы употребляться для увеличения позиции вебсайтов в поисковой выдаче и рассылки мусора.