DKWSLabs

den

Несколько дней назад была опубликована информация о множественных уязвимостях во многих популярных плагинах для WordPress – Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins.
https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Причина уязвимости – некорректное использование нескольких функций WordPress API, что дает возможность использовать атаки типа XSS в отношении множества вэбсайтов, использующих эту популярную CMS.

Как показало исследование Sucuri, уязвимость содержится во многих популярных плагинах:

Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Broken-Link-Checker
Ninja Forms

Обратите внимание – это далеко не полный список. Количество плагинов, которые требуют исправления и обновления, исчисляется сотнями.

Что необходимо сделать?

- Обновите WordPress и плагины. Проверяйте наличие обновлений ежедневно – по крайней мере, в течение ближайших 1-2 недель, когда разработчики будут выпускать исправленные версии
- Обновите темы WordpPress. Темы для WP также могут использовать конструкции в коде, которые могут быть использованы для XSS-атак
- Ограничьте доступ к директории wp-admin только для определенных IP, с которых обеспечиваетя администрирование сайта
- Удалите неиспользуемые плагины и темы. Если какой-либо плагин или тема не обновляется длительное время разработчиком, то следует рассмотреть вопрос об использовании альтернативы