Хакеры используют уязвимость WordPress
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Хакеры снова нашли способ испортить жизнь владельцам сайтов на WordPress. На этот раз они взялись за один из популярных плагинов, предназначенных для управления членством на сайте. Этот плагин используется тысячами владельцев сайтов, от небольших блогов до онлайн‑сообществ, и именно он оказался уязвимым: в его механизме проверки прав доступа обнаружили ошибку, позволяющую злоумышленникам создавать себе полноценные учетные записи администратора.
Если говорить проще, у плагина оказалась дырка в защите. Хакеру достаточно отправить специально сформированный запрос, чтобы платформа послушно выдала ему доступ, сравнимый с доступом владельца сайта. После этого злоумышленник может делать что угодно: менять настройки, устанавливать вредоносные файлы, перенаправлять посетителей на поддельные страницы или просто удалить сайт целиком.
Эксперты в области кибербезопасности предупреждают: атаки уже начались. На форумах владельцев WordPress появляются жалобы на внезапные «невидимые» админ‑аккаунты — учётные записи, которые никто не создавал, но которые обладают полным набором прав. Для многих пользователей это становится неприятным сюрпризом, особенно если они давно не обновляли свои плагины.
Причина уязвимости связана с ошибкой в проверке параметров запроса. Плагин неправильно определял, какие права должен получить новый пользователь, и в результате хакеры могли обойти защиту. Обычно такие проблемы устраняются обновлением, но многие владельцы сайтов игнорируют обновления из‑за страха «сломать» рабочий сайт или просто по забывчивости.
Специалисты настоятельно рекомендуют обновить плагин до последней версии, а также проверить список учетных записей. Если среди администраторов появились незнакомые имена, их необходимо удалить и срочно сменить пароли. Кроме того, стоит включить двухфакторную аутентификацию и ограничить доступ к панели управления.
Ситуация показывает старую истину: большинство взломов происходит не потому, что хакеры гениальны, а потому что пользователи легкомысленны. В экосистеме WordPress, построенной на сотнях сторонних плагинов, такая проблема уже стала хронической. И если разработчики быстро закрывают уязвимости, то владельцы сайтов остаются уязвимыми до тех пор, пока не установят обновления.
В целом же эта история ещё раз напоминает: даже самый безобидный на вид плагин может стать входной дверью для злоумышленников, если вовремя не следить за безопасностью.
PEREC.RU
Хакеры нашли новый способ проникать на WordPress‑сайты — через уязвимость в популярном плагине для управления членством. История стара как интернет: в коде обнаружили ошибку, позволяющую злоумышленникам создавать администраторские аккаунты. Плагин неправильно проверяет права при регистрации пользователей, и хакеры используют это, чтобы получить полный контроль над ресурсом. Владелец сайта может даже не заметить, как среди админов появляется «левый» аккаунт.
Эксперты фиксируют реальные атаки. Пользователи жалуются на тайные учетные записи, изменение настроек и подозрительные действия в панели управления. Сценарий банальный: уязвимость есть, обновления многие ставят неохотно, а хакеры этим пользуются.
Разработчики уже выпустили исправление, но бесполезно, если администраторы сайтов его не установят. Рекомендации стандартные: обновить плагин, проверить всех пользователей, включить двухфакторную защиту. Показательная история о том, что основная проблема WordPress — не только в уязвимых плагинах, но и в привычке владельцев игнорировать обновления.
В целом ситуация демонстрирует закономерность: чем популярнее система и чем больше сторонних дополнений, тем выше риск встретить хакера, который найдёт дыру там, где её никто не ждал. WordPress остаётся удобной платформой, но безопасность требует внимательности, иначе даже простой плагин превращается в дыру в обороне.
