![]() |
Най-популярната платформа за бързо и лесно създаване на уеб сайтове WordPress продължава да бъде във фокуса на хакерската активност. През последния месец, освен необичайно голямата мрежова атака от типа DDOS, все по-агресивно се атакуват уязвимости в графичните теми. Техническата поддръжка на Host.bg последователно изследва всички атаки. В момента има засилен интерес към теми, които използват инструмента TimThumb. Традиционно продължават да се експлоатират голям брой теми със CSRF (Cross-Site Request Forgery) и CSS (Cross Site Scripting) уязвимости. Списъкът на атакуваните уязвимите теми е публикуван по-долу. Пролуките в сигурността се използват за:
– Изпращане на спам
– Инсталиране на зловреден код
– Участие в мрежови атаки
– Кражба на акаунт информация
– Промяна на началната страница
– Компрометиране на коментарна секция
– други
TimThumb aтаката представлява трудна за отстраняване, по оценка на специалистите, но сравнително лесна за експлоатиране уязвимост. Тя се осъществява през кешираните файлове, които Wordpres създава на картинки и иконки в подпапки на папката wp-content. Кеш файловете се подменят с такива с достъп до „shell“-a, след което хакерът получава пълен достъп до платформата.
За съжаление проблеми има както при безплатните, така и при платени теми. Няма гаранция, че ако сте закупили темата тя ще е защитена. Срокът за защита на платените теми все пак е много по-къс. Нашият съвет към потребителите на WordPress е да проверят, дали използват някоя от темите от публикувания списък. Заедно с това трябва да обърнете внимание на версията на темата, която използва вашият сайт. Ако темата е уязвима незабавно се свържете с Техническата поддръжка на Host.bg, за да получите помощ за идентифициране на евентуален проблем и по-важното вземете мерки за отстраняване на евентуалната уязвимост.
20khabar
acens
Aggregate
airfolio
amplus_v1.6
another
aquitaine
arras
arthemia-premium
AskIt
Aurelius
Avenue
awake
bestvariety
blacklabel
blindway_themes
bueno
busybee
Calypso
Carta
Chameleon
cinch
cityguide
classic
classifiedstheme
clockstone
count.php
dandelion_v2.6.1
DeepFocus
default
delicate
delight
directorypress
disney
dizimag
duotive-three
DynamiX
ecobiz
eGallery
ElegantEstate
elemental
eNews
envision
Envisioned
ePhoto
estate
etiquette-wp
Feather
folioway
Gallope
gazette
genoa
Glow
graphene
greatio
headlines
headlines_enhanced
hotvariety
InnovationScience2
InReview
inuitypes_free
invictus
IRAnian
Iris
Karma
Karma_planete
LeanBiz
LightBright
Linepress
listings
LondonLive
Lycus
magazinum
magnific
Magnificent
mainstream
manifesto
metrolo
Modest
modularity
monmarthe
multidesign
newcar
News
newsworld
Nova
object
obvious
ocram_1.1
parachute
pattoncommerce
photoria
Polaris Package
Polished
premiumnews
primely-theme
primely-wordpress
profitstheme
PureType
purevision
retreat
rocknpup
rockwell_v1.3
Romix
royalty
rujlu
scarlett
setinstone
Shuttershot
simplicity
snapshot
sohbettema
sportpress
suffusion
supermassive
teardrop
Telegraph
thedawn
themes.php
TheProfessional
TheSource
TheStyle
TheTravelTheme
TidalForce
transcript
twentyeleven
twentyten
u-design
urbanhip
versatile
vilisya
visitingtherapyservices
Webly
webstudio
welcome_inn
widescreen
work
wpzoom
Ако все още нямате сайт, изберете своя хостинг план и домейн име и създайте своя собствена страница с безплатния инсталационен пакет Softaculous.
Хубаво е, че напомняте за небеизвестната timthumb атака, но предложете решение, а не само непълен списък с „уязвими“ теми.
За всички, които искат да проверят и защитят своите wordpress сайтове, можете да използвате https://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/
Плъгинът сканира версията на timthumb на ВСИЧКИ инсталирани теми, а не само тези, които се ползват! При наличие на уязвимост, ще се покаже съобщение и възможност за обновяване до последна сигурна версия.
Поздрави
Изводът е само един. Напишете си своя уеб платформа и си слагайте свои дизайнерски темплейти. Тези които не могат да направят това нека извадят някой лев и да си поръчат да му направят в някоя българска софтуерна фирма. Има бол такива.
Една такава платформа се създава за два три месеца. Ако има по-малко изисквания към нея може да бъде направена и за броени дни. Зарежете безплатните уеб платформи…а най-добре се научете да си ги правите сами. Не е толкова трудно, освен това е забавно а и ще си я направиш както на теб ти трябва. Успех на всички !!!
Здравейте,
Искам само да допълня че за да защитите wordpress сайта си – препоръчвам „BulletProof Security“ – безплатен антивирусен и защитен plugin. Над 500 човека са му дали 5 звезди !
Поздрави
Илия
Ние сме доволни 🙂 от WP.
Привет, искам да напиша нещо свързано с wordpress но не точно с темата на поста. Вчера се установи че има пробив в 2 от най-известните плугини за кеширане – WP SuperCache и W3 Total Cache . Нужно е незабавно да се обновят. Повече инфо -> https://blog.cloudflare.com/w3tc-and-wp-super-cache-vulnerability-discove-17794
Накратко : в някой от постовете на блога си ако напишете :
И излезе резултат коя версия на php ползвате, то вие сте един от многото с пробив в системата 🙂
Просто исках да се знае.
Поздрави
Здравейте,
Благодарим Ви за полезната информация и допълнение към статията.
Поздрави:
Host.bg