wordpress-vulnerability-fire

Най-популярната платформа за бързо и лесно създаване на уеб сайтове WordPress продължава да бъде във фокуса на хакерската активност. През последния месец, освен необичайно голямата мрежова атака от типа DDOS, все по-агресивно се атакуват уязвимости в графичните теми. Техническата поддръжка на Host.bg последователно изследва всички атаки. В момента има засилен интерес към теми, които използват инструмента TimThumb. Традиционно продължават да се експлоатират голям брой теми със CSRF (Cross-Site Request Forgery) и CSS (Cross Site Scripting) уязвимости. Списъкът на атакуваните уязвимите теми е публикуван по-долу. Пролуките в сигурността се използват за:

– Изпращане на спам
– Инсталиране на зловреден код
– Участие в мрежови атаки
– Кражба на акаунт информация
– Промяна на началната страница
– Компрометиране на коментарна секция
– други

TimThumb aтаката представлява трудна за отстраняване, по оценка на специалистите, но сравнително лесна за експлоатиране уязвимост. Тя се осъществява през кешираните файлове, които Wordpres създава на картинки и иконки в подпапки на папката wp-content. Кеш файловете се подменят с такива с достъп до „shell“-a, след което хакерът получава пълен достъп до платформата.

За съжаление проблеми има както при безплатните, така и при платени теми. Няма гаранция, че ако сте закупили темата тя ще е защитена. Срокът за защита на платените теми все пак е много по-къс. Нашият съвет към потребителите на WordPress е да проверят, дали използват някоя от темите от публикувания списък. Заедно с това трябва да обърнете внимание на версията на темата, която използва вашият сайт. Ако темата е уязвима незабавно се свържете с Техническата поддръжка на Host.bg, за да получите помощ за идентифициране на евентуален проблем и по-важното вземете мерки за отстраняване на евентуалната уязвимост.

Списък с уязвими теми.

20khabar
acens
Aggregate
airfolio
amplus_v1.6
another
aquitaine
arras
arthemia-premium
AskIt
Aurelius
Avenue
awake
bestvariety
blacklabel
blindway_themes
bueno
busybee
Calypso
Carta
Chameleon
cinch
cityguide
classic
classifiedstheme
clockstone
count.php
dandelion_v2.6.1
DeepFocus
default
delicate
delight
directorypress
disney
dizimag
duotive-three
DynamiX
ecobiz
eGallery
ElegantEstate
elemental
eNews
envision
Envisioned
ePhoto
estate
etiquette-wp
Feather
folioway
Gallope
gazette
genoa
Glow
graphene
greatio
headlines
headlines_enhanced
hotvariety
InnovationScience2
InReview
inuitypes_free
invictus
IRAnian
Iris
Karma
Karma_planete
LeanBiz
LightBright
Linepress
listings
LondonLive
Lycus
magazinum
magnific
Magnificent
mainstream
manifesto
metrolo
Modest
modularity
monmarthe
multidesign
newcar
News
newsworld
Nova
object
obvious
ocram_1.1
parachute
pattoncommerce
photoria
Polaris Package
Polished
premiumnews
primely-theme
primely-wordpress
profitstheme
PureType
purevision
retreat
rocknpup
rockwell_v1.3
Romix
royalty
rujlu
scarlett
setinstone
Shuttershot
simplicity
snapshot
sohbettema
sportpress
suffusion
supermassive
teardrop
Telegraph
thedawn
themes.php
TheProfessional
TheSource
TheStyle
TheTravelTheme
TidalForce
transcript
twentyeleven
twentyten
u-design
urbanhip
versatile
vilisya
visitingtherapyservices
Webly
webstudio
welcome_inn
widescreen
work
wpzoom

Ако все още нямате сайт, изберете своя хостинг план и домейн име и създайте своя собствена страница с безплатния инсталационен пакет Softaculous.


Етикети: ,