В популярном плагине для создания бекапов UpdraftPlus найдена уязвимость.

Суть проблемы в уязвимости XSS (  Википедия  ). Эта уязвимость дает хакеру возможность ввести нежелательное содержимое на ваш сайт. 

В UpdraftPlus опасность заключается в следующем – злоумышленнику нужно:

а) прислать вам специально созданную ссылку

б) убедить вас нажать её на компьютере, на котором вы также вошли в админку вордпресс с правами администратора. 

При нажатии этой ссылки злоумышленник может запустить код в вашей админке один раз, выполнив определенные действия, предусмотренные плагином UpdraftPlus (например, загрузить резервную копию, запустить резервную копию, удалить резервное копирование). Специалисты, нашедшие уязвимость, не считают, что злоумышленник может загрузить и восстановить собственную резервную копию (т.е. они не могут изменять ваш сайт путем ввода и восстановления собственных резервных копий).

В процессе поиска уязвимостей в плагинах также стало известно, что следующие плагины имеют схожие проблемы, поэтому следует просмотреть, выпущены ли к ним соответствующие обновления и обновиться:

  • WordPress SEO
  • JetPack
  • All In One SEO
  • Gravity Forms
  • Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • P3 Profiler
  • Give
  • Ithemes Exchange
  • Two Factor Authentication
  • Broken Link Checker