У популярному плагіні для створення бекапів UpdraftPlus знайдено вразливість.

Суть проблеми у вразливості «XSS» ( Вікіпедія ). Ця вразливість дає хакеру можливість ввести “небажаний” вміст на ваш сайт. 

У UpdraftPlus небезпека полягає в наступному: зловмиснику потрібно:

а) надіслати вам спеціально створене посилання

б) переконати вас натиснути на нього на комп’ютері, на якому ви також увійшли в адмінку вордпрес з правами адміністратора. 

Якщо ви натиснули це посилання, зловмисник може запустити код у вашій адмінці один раз, виконавши певні дії, що передбачені плагіном UpdraftPlus (наприклад, завантажити резервну копію, запустити резервну копію, видалити резервне копіювання). Спеціалісти, що знайшли вразливість не вважають, що зловмисник може завантажити та відновити власну резервну копію (тобто вони не можуть змінювати ваш сайт шляхом введення та відновлення власних резервних копій).

В процесі пошуку вразливостей у плагінах також стало відомо, що наступні плагіни мають схожі проблеми, тож варто переглянути, чи випущено до них відповідні оновлення та оновитись:

  • WordPress SEO
  • JetPack
  • All In One SEO
  • Gravity Forms
  • Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • P3 Profiler
  • Give
  • Ithemes Exchange
  • Two Factor Authentication
  • Broken Link Checker