Творці однієї з найпопулярніших платформ для створення сайтів WordPress нещодавно дізнались про вразливість відразу декількох плагінів (InfiniteWP, WP Time Capsule і WP Database Reset). Виявила наявність вразливостей компанія Sucuri, яка спеціалізується на кібербезпеці. Згадані раніше плагіни використовуються як мінімум на 400000 інтернет-ресурсах по всьому світу.
Найсерйозніші проблеми пов’язані з плагіном в InfiniteWP Client, який використовується близько на 300000 сайтах. Цей плагін дозволяє адміністраторам управляти декількома сайтами з 1 сервера. Якщо знати ім’я адміністратора, то навіть без пароля можна отримати доступ до контрольованих сайтів і впливати на їх вміст, включаючи додавання шкідливого коду і видалення наявних даних. Щоб закрити вразливість, плагін повинен бути оновлений як мінімум до версії 1.9.4.5.
Досить критичним недоліком характеризується плагін WP Time Capsule, який використовується на 20000 сайтах. Плагін призначений для створення резервних копій сайтів та дає можливість зайти в панель адміністрування навіть без знання логіна і пароля. Вразливість була усунена в версії плагіна 1.21.16.
Щодо плагіну WP Database Reset, то проблема заключається в тому, що будь-який користувач може отримати доступ до бази даних сайту та повністю видалити розміщену на ньому інформацію, обнулити налаштування WordPress до стандартних, або у випадку авторизації користувач може отримати права адміністратора та видалити, обмежити можливості інших користувачів, включаючи основного адміністратора. Такий плагін використовується на 80000 сайтах. Вразливість усунена в версії плагіна 3.15.
Про використання виявлених недоліків для здійснення атак або виведення із ладу сайтів поки не відомо, але спеціалісти з кібербезпеки радять всім власникам ресурсів на WordPress якомога швидше оновити зазначені плагіни до самої останньої версії.