US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

XSS-уязвимость в сотнях плагинов для WordPress

XSS-уязвимость в сотнях плагинов для WordPress

Апр 26, 2015DmitryНовости

Несколько дней назад была опубликована информация о множественных уязвимостях во многих популярных плагинах для WordPress — Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins. Причина уязвимости — некорректное использование нескольких функций WordPress API, что дает возможность использовать атаки типа XSS в отношении множества вэбсайтов, использующих эту популярную CMS.

Как показало исследование Sucuri, уязвимость содержится во многих популярных плагинах:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Broken-Link-Checker
  • Ninja Forms

Обратите внимание — это далеко не полный список. Количество плагинов, которые требуют исправления и обновления, исчисляется сотнями.

Что необходимо сделать?

  1. Убедитесь, что у Вас настроено и корректно работает резервное копирование. Вы можете использовать как наш сервис, так и любой другой вариант (например, мы писали раньше о хранении бэкапов в dropbox). Регулярно проверяйте целостность резервных копий!
  2. Обновите WordPress и плагины. Проверяйте наличие обновлений ежедневно — по крайней мере, в течение ближайших 1-2 недель, когда разработчики будут выпускать исправленные версии
  3. Обновите темы WordpPress. Темы для WP также могут использовать конструкции в коде, которые могут быть использованы для XSS-атак
  4. Затрудните взломщикам жизнь — используйте WAF (mod_security для Apache, naxsi для nginx и подобные решениея
  5. Ограничьте доступ к директории wp-admin только для определенных IP, с которых обеспечиваетя администрирование сайта
  6. Удалите неиспользуемые плагины и темы. Если какой-либо плагин или тема не обновляется длительное время разработчиком, то следует рассмотреть вопрос об использовании альтернативы

Дополнительная информация об уязвимости доступна на множестве профильных ресурсов:

  • Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins
  • XSS Vulnerability Affects More Than a Dozen Popular WordPress Plugins
  • Coordinated plugin updates to address security vulnerability in many popular WordPress plugins
Tags: security,  wordpress
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

← Репликация данных MySQL в режиме master-slave
Как обратиться в техническую поддержку? →

Recent Posts

  • Support for our friends and colleagues in Ukraine
    Support for our friends and colleagues in Ukraine

    Dear friends and colleagues from Ukraine...

  • Новый датацентр — UA2.IEV: Kyiv, Ukraine!
    Новый датацентр — UA2.IEV: Kyiv, Ukraine!

    Мы продолжаем увеличивать количество наш...

  • CyberMonday — продолжаем марафон скидок!
    CyberMonday — продолжаем марафон скидок!

    Черная Пятница прошла, но не будем остан...

  • Black Friday 2021 — скидки до 50% на все SSD VDS!
    Black Friday 2021 — скидки до 50% на все SSD VDS!

    Черная Пятница официально началась! На п...

  • Sysadmin’s Day 2021 — скидки до 50% на заказ и продление SSD VDS!
    Sysadmin’s Day 2021 — скидки до 50% на заказ и продление SSD VDS!

    Давненько мы не раздавали скидки - поста...

  • Черная Пятница от ITLDC началась:  скидки до 70%!
    Черная Пятница от ITLDC началась: скидки до 70%!

    Несмотря на то, что традиционная Черная...

  • Представляем HD VDS — облачные VDS для хранения данных
    Представляем HD VDS — облачные VDS для хранения данных

    Мы подготовили специальную линейку вирту...

  • Секретная распродажа SSD VDS и серверов!
    Секретная распродажа SSD VDS и серверов!

    Скучаете по распродажам? Не обязательно...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.