Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

Хакеры нашли новый способ установки бэкдоров на Wordpress

Новости

Уязвимость заключена во взаимодействии аккаунтов Wordpress с плагином Jetpack. Используя возможности дополнения, злоумышленники устанавливают бэкдоры на все сайты пользователя.

3К открытий3К показов

Авторы плагина Wordfence обнаружили новый способ установки бэкдоров на сайты, основанные на движке WordPress. Метод требует прохождения сложных этапов, но хакеры уже совершили несколько атак.

WordPress и Jetpack

Первым делом злоумышленники взламывают аккаунты пользователей. Примечательно, что логин и пароль от панели управления WordPress.com отличаются от данных, используемых для входа в консоль сайтов под управлением одноименного движка.

Заполучив доступ, хакеры используют плагин Jetpack для массовой установки вредоносного дополнения во все сайты, подключенные к аккаунту. При этом установленные надстройки не отображаются в панелях администраторов.

Хакеры нашли новый способ установки бэкдоров на Wordpress 1

В период с 16 по 21 мая 2018 года злоумышленники устанавливали бэкдоры с названиями «pluginsamonsters» и «wpsmilepack». Они используются для направления пользователей на фишинговые страницы.

Защита от взлома

Владельцам сайтов, связанных с Wordpress, рекомендуется изучить список установленных плагинов. При обнаружении подозрительных пакетов нужно их удалить, сменить пароль и включить двухфакторную аутентификацию.

Уязвимости в движке WоrdPress нередки. В мае 2017 года специалист по безопасности Давид Голунский обнаружил способ получить ссылку для сброса пароля от панели управления сайтом.

Следите за новыми постами
Следите за новыми постами по любимым темам
3К открытий3К показов
Также рекомендуем
🔥 «OpenAI — Титаник в мире ИИ»: экс-разработчик компании рассказал, почему покинул ее
🔥 «OpenAI — Титаник в мире ИИ»: экс-разработчик компании рассказал, почему покинул ее
Бывший исследователь из OpenAI принял участие в YouTube-подкасте, на котором поделился своими опасениями о будущем компании
Код свободный — используйте кто хотите? Лицензии опенсорсных зависимостей в проприетарной разработке
Код свободный — используйте кто хотите? Лицензии опенсорсных зависимостей в проприетарной разработке
Узнайте, как правильно использовать опенсорсные зависимости в проприетарной разработке, избегая лицензионных рисков. Понимание различий между пермиссивными и копилефтными лицензиями поможет сохранить юридическую безопасность вашего проекта.
«Касперский» нашел в iOS дыру на $1 млн. Apple отказалась выплатить выигрыш
«Касперский» нашел в iOS дыру на $1 млн. Apple отказалась выплатить выигрыш
«Лаборатория Касперского» еще в 2023 году нашла серьезную уязвимость в iOS, за которую должна была получить $1 млн. Но Apple отказалась переводить деньги даже на благотворительность
GitHub Copilot обвинили в невозможности ограничить передачу секретных данных сервису
GitHub Copilot обвинили в невозможности ограничить передачу секретных данных сервису
GitHub Copilot обвинили в невозможности ограничить передачу конфиденциальных данных в облако, создавая угрозу безопасности пользователей