Плагин, который скачали более 5 млн раз, содержит критическую уязвимость. Ирония в том, что он предназначен как раз для защиты сайтов на WordPress от взлома.
Разработчики популярного плагина Jetpack для WordPress призвали пользователей как можно скорее обновиться, установив патчи, вышедшие на этой неделе. Дело в том, что в коде плагина более двух лет присутствовала критическая уязвимость, которую устранили только сейчас.
Jetpack – это защитное решение, предназначенное для защиты сайтов от взлома, несанкционированного входа и так далее. Базовая защита предоставляется бесплатно, а дополнительные возможности доступны уже за отдельную плату.
Сообщается, что обнаруженная уязвимость появилась в коде еще с релизом Jetpack 5.1, то есть в июле 2017 года. Хотя пока технических деталей о проблеме практически нет, известно, что она была связана с тем, как Jetpack обрабатывал встроенный код. Подчеркивается, что баг не использовался хакерами, но уязвимы перед ним были все версии плагина, начиная с упомянутой Jetpack 5.1.
Разработчики подготовили исправления для каждой версии Jetpack, начиная с 5.1. Согласно официальной статистике, более четырех из пяти миллионов установок к настоящему моменту уже были обновлены до безопасных версий.
Напомним, что в 2018 году WordPress поставил абсолютный рекорд и стал самой взламываемой CMS года, на которую приходится 90% подобных атак. За прошедший 2018 год количество найденных багов, связанных с WordPress, выросло на 300% (более 540 уязвимостей). Это очень большая проблема, ведь под управлением WordPress работают около 30% всех сайтов в мире (включая сайт АКБ). При этом 98% уязвимостей, связанных с WordPress, были сопряжены с работой различных плагинов.
Также совсем недавно стало известно , что группа хакеров использует уязвимости более чем в 10 плагинах для WordPress, чтобы создавать новые учетные записи администраторов на чужих сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.
Читайте также на АКБ:
60 тысяч сайтов для WordPress попали под атаку — опять из-за плагина
