Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
skyvirus
8 лет назад

🔒 Найдено три уязвимости в WordPress 4.7.1

 Во всех версиях Wordpress, начиная с 4.7.1 и младше, было найдено три уязвимости. На данный момент разработчики выпустили обновление Wordpress 4.7.2, которое исправляет ошибки безопасности.

Суммарно об уязвимостях в Wordpress 4.7.1 и младше:

  • Пользовательский интерфейс для назначения таксономии в Press This отображался пользователям, не имеющим соответствующих прав;
  • Уязвимоть WP_Query к SQL инъекции (SQLi) при прохождении небезопасных данных. Ядро Wordpress напрямую не содержит уязвимости, но данная защита была добавлена с целью предотвращения плагинов и шаблонов от уязвимости;
  • Уявимость кросс-сайтового скриптинга (XSS), обнаруженная в таблице со списком постов.

Уязвимость в WordPress REST API активно эксплуатируется

  На сайты, которые работаю на Wordpress 4.7 и 4.7.1 ежедневно проводятся атаки ботами, которые подменяют контент в статьях, используя брешь в REST API.  Масштаб уже поражает - например, запрос в поисковой системе Google "Hacked by NG689Skw" выдает нам 250 000 результатов, а запрос "Hacked By SA3D HaCk3D" порядка 190 тысяч результатов.  Но это не основная проблема. Опасность том, что можно хакеры могут осуществить внедрение спам ссылок, SEO-контент и мобильные редиректы, а если вы используете плагины, которые интерпретируют код как php, то хакеры смогут удаленно исполнять произвольный код.   

 Специалисты рекомендуют если вы не можете обновиться до версии 4.7.2,  закрывайте доступ к REST API постов через .htaccess: 

RewriteEngine On



RewriteRule /wp/v2/posts/ - [F,L]

  Надеюсь эта новость убережет вас от бессонных ночей по восстановлению сайта. Так как часто хакеры могут месяцами не использовать брешь в безопасности вашего сайта, который они взломали заранее.

 Если Вы хотите оставаться в курсе всех новостей, подписывайтесь и голосуйте своим голосом! Желаю всем продуктивного дня и хороших выходных!

0
0.225 GOLOS
На Golos с February 2017
Комментарии (7)
Сортировать по:
Сначала старые