У популярному плагіні для створення бекапів UpdraftPlus знайдено вразливість.
Суть проблеми у вразливості «XSS» ( Вікіпедія ). Ця вразливість дає хакеру можливість ввести “небажаний” вміст на ваш сайт.
У UpdraftPlus небезпека полягає в наступному: зловмиснику потрібно:
а) надіслати вам спеціально створене посилання
б) переконати вас натиснути на нього на комп’ютері, на якому ви також увійшли в адмінку вордпрес з правами адміністратора.
Якщо ви натиснули це посилання, зловмисник може запустити код у вашій адмінці один раз, виконавши певні дії, що передбачені плагіном UpdraftPlus (наприклад, завантажити резервну копію, запустити резервну копію, видалити резервне копіювання). Спеціалісти, що знайшли вразливість не вважають, що зловмисник може завантажити та відновити власну резервну копію (тобто вони не можуть змінювати ваш сайт шляхом введення та відновлення власних резервних копій).
В процесі пошуку вразливостей у плагінах також стало відомо, що наступні плагіни мають схожі проблеми, тож варто переглянути, чи випущено до них відповідні оновлення та оновитись:
- WordPress SEO
- JetPack
- All In One SEO
- Gravity Forms
- Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- P3 Profiler
- Give
- Ithemes Exchange
- Two Factor Authentication
- Broken Link Checker
Ще цікаве:

Відладка / debug у WordPress (список корисних плагінів)
Ми вже писали поради, як увімкнути чи вимкнути показ помилок на сайті , а також де подивитися повний журнал доступу та помилок на хостингу. Усе це – невід’ємна частина роботи будь-якого розробника чи вебмайстра. Текст помилок допомагає йому під час дослідження проблем, діагностики і пошуку причин цих помилок. Сьогодні ми наведемо ще список корисних інструментів, а саме безкоштовних плагінів для WordPress, […]
Детальніше
Як зареєструвати домен з історією ( шукаємо дропи )
Домен з історією або drop – доменне ім’я, яке вже використовувалось кимось протягом певного часу, але було покинуте, не продовжене, і наразі доступне для покупки. Навіщо потрібен домен з історією. Дроп домени потрібні для того аби: Для того аби зрозуміти, чому так корисно знайти правильний дропнутий домен, потрібно поверхнево згадати критерії оцінки сайтів пошуковими системами такими як, наприклад, Google. Отже, […]
Детальніше