Многие веб-сайты WordPress, находящиеся под угрозой, подвержены критической уязвимости плагина безопасности WordPress, что приводит к несанкционированному доступу администратора. Этот недостаток обхода аутентификации обнаружен в Действительно простая безопасность подчеркивает, насколько срочные меры требуются от владельцев сайтов.
Действительно простая безопасность Плагин имеет оценку угрозы 9,8 из 10.что указывает на то, насколько легко воспользоваться этой уязвимостью. Злоумышленники будут иметь доступ к веб-сайтам как любой пользователь, то есть пользователи с правами администратора. Эти недостатки относятся к категории уязвимостей доступа без аутентификации и вызывают особое беспокойство, поскольку для их эксплуатации не требуется знание учетных данных пользователя.
Риски несанкционированного доступа растут из-за уязвимости плагина WordPress
Это означает, что злоумышленники, не прошедшие проверку подлинности, могут получить доступ к закрытым областям сайта без имени пользователя и пароля. В частности, проблема существует в версиях 9.0.0–9.1.1.1 плагина из-за отсутствия правильной обработки ошибок проверки пользователя в двухфакторных действиях REST API. Угадайте, что — согласно Wordfence исследователи, независимо от того, включена ли у вас двухфакторная аутентификация или нет, эта уязвимость может быть использована.
Менее чем за 24 часа Wordfence получила уведомление о том, что блокирует более 310 атак, направленных на эту конкретную уязвимость. Он уже установлен более чем на 4 миллиона сайтовпоэтому существует высокий риск для тех, кто не готов поддерживать свои плагины в актуальном состоянии. Поскольку уязвимость является скриптовой, риск массовой эксплуатации высок, а также высок риск быстрого развертывания потенциально вредоносных действий.
Прежде чем раскрыть эту уязвимость, у разработчиков этой уязвимости была недельная фора, чтобы развернуть патч в их версии 9.1.2. В журнале изменений последней версии явно упоминается адрес проблемы обхода аутентификации. Это первый официальный плагин WordPress, который объединился со мной, чтобы оперативно рассылать объявления об обновлении версий на веб-сайты, на которых работают уязвимые версии, до публичного объявления FLAW, чтобы дать последний шанс активно обновить его.
Подробности о патче и отзывы сообщества
Это не первый раз, когда мы слышим об уязвимостях WordPress; оно, конечно, не будет последним. Тем не менее, мы можем сказать, что эта проблема безопасности последовала относительно быстро после того, как была обнаружена еще одна критическая проблема безопасности для системы управления обучением WPLMS. В качестве пояснения: уязвимость Really Simple Security работает как с бесплатной, так и с премиальной версией, поэтому каждому необходимо прямо сейчас проверить безопасность своего сайта.
Анализ Wordfence показывает, как уязвимость возникает из-за конкретной функции под названием «check_login_and_get_user». Этот надзор означает, что злоумышленник может просто отправить специально созданный запрос на вход в любую существующую учетную запись пользователя, включая учетную запись администратора. Эксперты предупреждают, что эта деятельность может привести к вредоносным последствиям, таким как кража веб-сайта у злоумышленников и дальнейшие злонамеренные действия.
Из-за этой крайне критической уязвимости мы советуем всем, кто использует плагин Really Simple Security, немедленно или позже обновить версию 9.1.2. Защитой от таких уязвимостей является обновление плагинов безопасности до последних версий. Учитывая тревожно высокий уровень установок, последствия бездействия могут быть очень плохими для тысяч и тысяч владельцев веб-сайтов, которые не применяют необходимые обновления.
Однако эксперты по безопасности вновь сетуют на то, что мы должны принять многоуровневый подход к безопасности. Любой администратор сайта должен выполнять регулярное резервное копирование, использование надежных паролей и комплексное сканирование безопасности, чтобы исправить ситуацию, помимо обновления плагинов.
Кредит изображений: Фуркан Демиркая/Идеограмма
Уязвимость Post WordPress угрожает более чем 4 миллионам веб-сайтов, впервые появившихся на TechBriefly.
Source: Уязвимость WordPress угрожает более чем 4 миллионам веб-сайтов