US1.LAX virtual and dedicated servers discounts! Order your new SSD VDS or dedicated in US1.LAX, use special coupon USASERVER and enjoy your new server with 25% discount!
  • Главная
  • Серверы
  • SSD VDS
  • Хостинг
  • Поддержка
  • Блог
  • О нас
  • Биллинг
  • en
ITL DC

XSS-уязвимость в сотнях плагинов для WordPress

Apr 26, 2015DmitryНовости

Несколько дней назад была опубликована информация о множественных уязвимостях во многих популярных плагинах для WordPress – Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins. Причина уязвимости – некорректное использование нескольких функций WordPress API, что дает возможность использовать атаки типа XSS в отношении множества вэбсайтов, использующих эту популярную CMS.

Как показало исследование Sucuri, уязвимость содержится во многих популярных плагинах:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Broken-Link-Checker
  • Ninja Forms

Обратите внимание – это далеко не полный список. Количество плагинов, которые требуют исправления и обновления, исчисляется сотнями.

Что необходимо сделать?

  1. Убедитесь, что у Вас настроено и корректно работает резервное копирование. Вы можете использовать как наш сервис, так и любой другой вариант (например, мы писали раньше о хранении бэкапов в dropbox). Регулярно проверяйте целостность резервных копий!
  2. Обновите WordPress и плагины. Проверяйте наличие обновлений ежедневно – по крайней мере, в течение ближайших 1-2 недель, когда разработчики будут выпускать исправленные версии
  3. Обновите темы WordpPress. Темы для WP также могут использовать конструкции в коде, которые могут быть использованы для XSS-атак
  4. Затрудните взломщикам жизнь – используйте WAF (mod_security для Apache, naxsi для nginx и подобные решениея
  5. Ограничьте доступ к директории wp-admin только для определенных IP, с которых обеспечиваетя администрирование сайта
  6. Удалите неиспользуемые плагины и темы. Если какой-либо плагин или тема не обновляется длительное время разработчиком, то следует рассмотреть вопрос об использовании альтернативы

Дополнительная информация об уязвимости доступна на множестве профильных ресурсов:

  • Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins
  • XSS Vulnerability Affects More Than a Dozen Popular WordPress Plugins
  • Coordinated plugin updates to address security vulnerability in many popular WordPress plugins
Tags: security,  wordpress
Related Posts
  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

  • Возможная уязвимость в Vesta и способ лечения от Trojan.DDoS_XOR

  • Критичная уязвимость в PHPMailer

← Репликация данных MySQL в режиме master-slave
Как обратиться в техническую поддержку? →

Blog

  • Новогодняя распродажа скоростных SSD VDS!

    Все мы любим новогодние праздники и, кон...

  • Свой VPN-сервер быстро и просто: устанавливаем Pritunl

    VPN-серверы на базе OpenVPN являются, на...

  • Встречайте – EU4.PRG, Прага!

    Представляем нашу новую локацию - запуще...

  • Black Friday начинается сегодня – скидка 60% на все SSD VDS!

    Начинается "Черная Пятница" - период мег...

  • Google выпустил Squoosh – оптимизатор изображений для вэба

    На днях увидел свет Squoosh от корпораци...

  • It’s HALL0WEEN!

    Мы начинаем хеллоуинскую распродажу - на...

  • ITLDC – участник точки обмена трафиком SPEED-IX

    Мы рады сообщить, что ITLDC является уча...

  • Критическое обновление Vesta и новые уязвимости

    В начале октября на официальном форуме п...

ITL Europe

ITL Bulgaria Ltd.

Oborishte street 64,
Burgas 8000
Bourgas reg.,
Bulgaria

+359 2 4925555

[email protected]

ITL US HQ

Green Floid LLC

2707 East Jefferson St
Orlando
Florida, 32803
USA

+1 561 2500001

[email protected]

Services

  • Выделенные серверы
  • SSD VDS
  • Место для бэкапов
  • Размещение оборудования
  • Панели управления
  • Реселлерам
  • Биллинг
  • en
© 1995-2018 ITL Group. You can freely use or share information from this site with a hyperlink to the original page.
  
We use cookies to ensure that we give you the best experience on our website. If you continue to use this site we will assume that you are happy with it.Ok