WordPress — Уязвимости безопасности

В 2007, 2008 и 2015 годах в программном обеспечении было обнаружено множество ошибок, связанных с безопасностью. Согласно Secunia, в апреле 2009 года у WordPress было семь непропатченных предупреждений безопасности с максимальным рейтингом «Менее критично». Secunia ведет актуальный список уязвимостей WordPress.

В январе 2007 года популярные блоги по поисковой оптимизации (SEO), а также недорогие коммерческие блоги с AdSense были атакованы с помощью эксплойта WordPress. Отдельная уязвимость безопасности на одном из веб-серверов сайта проекта позволяла использовать код, который можно было использовать как бэкдор для некоторых загрузок из WordPress 2.1.1. В версии 2.1.2 эта проблема устранена. В выпущенном в то время руководстве всем пользователям рекомендовалось немедленно выполнить обновление.

В интервью в июне 2007 года Стефан Эссер, основатель группы PHP Security Response, критически высказался о безопасности в WordPress, сославшись на проблемы архитектуры приложения, которые затрудняли написание кода, безопасного для SQL-инъекций .

В июне 2013 года выяснилось, что некоторые из 50 наиболее загруженных плагинов WordPress уязвимы для распространенных интернет-атак, таких как SQL-инъекции и XSS. Отдельная проверка 10 плагинов электронной коммерции показала, что семь из них находятся в опасности.

Для повышения безопасности и повышения общей производительности обновлений в WordPress 3.7 введены автоматические фоновые обновления.

Отдельные установки WordPress можно защитить с помощью подключаемых модулей безопасности, которые не позволяют пользователям перечислять, скрывать ресурсы и скрывать запросы. Пользователи также могут защитить свои установки WordPress, обновив все установки, темы и плагины WordPress, используя только проверенные темы и плагины, чтобы предотвратить многие типы атак с использованием SQL-инъекций и заблокировать несанкционированный доступ к конфиденциальным файлам. Важно поддерживать ваши плагины WordPress в актуальном состоянии, так как потенциальные хакеры могут перечислить плагины, используемые вашим сайтом, а затем запустить сканирование в поисках уязвимостей этих плагинов. Если уязвимости обнаружены, их можно использовать, чтобы позволить хакерам загружать свои собственные файлы (например, сценарий PHP Shell),которые собирают конфиденциальную информацию.

Разработчики также могут использовать инструменты анализа потенциальных уязвимостей, включая WPScan, WordPress Auditor и WordPress Sploit Framework, разработанные 0pc0deFR. Эти типы инструментов исследуют известные уязвимости, такие как CSRF, LFI, RFI, XSS, SQL-инъекция.

В январе 2017 года аудиторы безопасности в Sucuri выявили уязвимость в WordPress REST API, которая позволяет любому неаутентифицированному пользователю изменять любую запись или страницу на сайте под управлением WordPress 4.7 или более поздней версии. Аудиторы незаметно уведомили разработчиков WordPress, и в течение шести дней WordPress выпустил высокоприоритетный патч для версии 4.7.2, который устранил проблему.

× Чем мы можем вам помочь? Available from 08:00 to 20:00