WordPress принудительно устанавливает обновление на 5 миллионов сайтов из-за проблем с безопасностью
31 мая 2023 г.WordPress недавно принудительно установил исправление на более чем пяти миллионах веб-сайтов, пытаясь уберечь их от недавно обнаруженной серьезной уязвимости.
Недостаток был обнаружен в Jetpack, одном из самые популярные подключаемые модули для знаменитого конструктора веб-сайтов, которые обеспечивают дополнительную безопасность, производительность и возможности управления веб-сайтом. .
По данным компании Automattic, материнской компании WordPress, плагин имеет более пяти миллионов активных установок, и администраторы используют его для резервного копирования своих сайтов, для защиты от атак грубой силы, для сканирования вредоносного ПО и многое другое.
Большинство сайтов защищены
"Во время внутреннего аудита безопасности мы обнаружили уязвимость в API, доступном в Jetpack, начиная с версии 2.0, выпущенной в 2012 году, – сказал Джереми Эрве, инженер Automatic по связям с разработчиками. «Эта уязвимость может быть использована авторами сайта для манипулирования любыми файлами в установке WordPress».
По состоянию на 30 мая Jetpack 12.1.1 был загружен и установлен более чем на 4 350 000 веб-сайтов. WordPress данные. Это составляет примерно 45% всей экосистемы WordPress, то есть примерно 55% остаются незащищенными. Во избежание путаницы сюда входят как активные, так и неактивные установки. Похоже, что большинство активных веб-сайтов были пропатчены.
Нет никаких доказательств того, что уязвимость используется в дикой природе, сказал Эрве, заявив также, что теперь это, вероятно, изменится, как только уязвимость станет общедоступной.
"У нас нет доказательств того, что эта уязвимость использовалась в реальных условиях. Однако теперь, когда обновление выпущено, возможно, кто-то попытается воспользоваться этой уязвимостью", — добавил он.
"Пожалуйста, обновите свою версию Jetpack как можно скорее, чтобы обеспечить безопасность вашего сайта. Чтобы помочь вам в этом процессе, мы тесно сотрудничали с командой безопасности WordPress.org, чтобы выпускать исправленные версии каждого версию Jetpack с версии 2.0. Большинство веб-сайтов были или скоро будут автоматически обновлены до защищенной версии».
Последний раз WordPress принудительно устанавливал крупное обновление почти год назад, в июне 2022 года, когда он устранил серьезный недостаток в Ninja Forms. Плагин, который на тот момент был установлен более миллиона раз, позволил потенциальным злоумышленникам полностью захватить уязвимый веб-сайт.
В отличие от уязвимости Jetpack, уязвимостью Ninja Forms злоупотребляли в дикой природе, говорили исследователи в то время. Пользователям настоятельно рекомендуется убедиться, что их подключаемый модуль обновлен до версии 3.6.11 на случай, если автоматическое обновление по какой-либо причине не удастся.
- Это лучший хостинг для WordPress прямо сейчас.
Через: BleepingComputer
Оригинал