Фахівці проекту WebARX сповістили, що власникам сайтів на WordPress, які використовують плагін ThemeGrill Demo Importer, що розробляється компанією ThemeGrill, необхідно терміново його оновити.
З відкритих джерел відомо, що плагін ThemeGrill Demo Importer встановлено більш ніж на 200 000 сайтів. Плагін дозволяє власникам імпортувати демонстраційний контент, віджети та налаштування для шаблонів, розроблених ThemeGrill.
Через вразливість зловмисники мають можливість відправити на сайт спеціальний запит, за допомогою якого буде задіяна певна функція плагіна ThemeGrill Demo Importer. В цьому плагіні є функція, яка повністю “обнуляє” контент на сайті, стираючи увесь вміст сайту з активною темою ThemeGrill і змінюючи його демонстраційними даними.
Крім того, якщо БД сайту містить користувача з ім’ям admin, зловмисник може отримати доступ до цього акаунту і всі відповідні права.
Вразливими є версії плагіну ThemeGrill Demo Importer від 1.3.4 до 1.6.1, тобто проблема була присутня в коді близько трьох років.
В даний час розробники вже усунули помилку і випустили оновлену версію плагіна (1.6.2).
Ще цікаве:

Відладка / debug у WordPress (список корисних плагінів)
Ми вже писали поради, як увімкнути чи вимкнути показ помилок на сайті , а також де подивитися повний журнал доступу та помилок на хостингу. Усе це – невід’ємна частина роботи будь-якого розробника чи вебмайстра. Текст помилок допомагає йому під час дослідження проблем, діагностики і пошуку причин цих помилок. Сьогодні ми наведемо ще список корисних інструментів, а саме безкоштовних плагінів для WordPress, […]
Детальніше
Як зареєструвати домен з історією ( шукаємо дропи )
Домен з історією або drop – доменне ім’я, яке вже використовувалось кимось протягом певного часу, але було покинуте, не продовжене, і наразі доступне для покупки. Навіщо потрібен домен з історією. Дроп домени потрібні для того аби: Для того аби зрозуміти, чому так корисно знайти правильний дропнутий домен, потрібно поверхнево згадати критерії оцінки сайтів пошуковими системами такими як, наприклад, Google. Отже, […]
Детальніше