image_2020-01-22_10-04-33.png
556.7 KB
Думаю полезная книга
WordPress All-in-One For Dummies, 4th Edition
https://t.me/techrocksarchive/911
Автор: Lisa Sabin-Wilson
Год издания: 2019
#books #wordpress #cms
WordPress All-in-One For Dummies, 4th Edition
https://t.me/techrocksarchive/911
Автор: Lisa Sabin-Wilson
Год издания: 2019
#books #wordpress #cms
Две критических уязвимости WordPress найдены в используемом более 80 000 сайтов плагине WP Data Reset WordPress. С их помощью можно сбросить базу WordPress к исходному состоянию и увеличить права обычного пользователя до администратора.
https://freehost.com.ua/faq/articles/kriticheskie-ujazvimost-wordpress-najdenni-v-ispolzuemom-bolee-80-000-sajtov-plagine/?utm_source=telegram&utm_medium=crowd&utm_campaign=blog&utm_content=kriticheskie-ujazvimost-wordpress-najdenni-v-ispolzuemom-bolee-80-000-sajtov-plagine
#cms #wordpress #security
https://freehost.com.ua/faq/articles/kriticheskie-ujazvimost-wordpress-najdenni-v-ispolzuemom-bolee-80-000-sajtov-plagine/?utm_source=telegram&utm_medium=crowd&utm_campaign=blog&utm_content=kriticheskie-ujazvimost-wordpress-najdenni-v-ispolzuemom-bolee-80-000-sajtov-plagine
#cms #wordpress #security
freehost.com.ua
Критические уязвимость WordPress найденны в используемом более 80 000 сайтов плагине — компания FreeHost
Критические ошибки, найденные в используемом более 80 000 сайтов плагине для сброса базы данных WP Data Reset WordPress
Эксперты компании Wordfence обнаружили опасную CSRF-уязвимость (CVE-2020-8417) в составе популярного плагина Code Snippets, предназначенного для WordPress. По сути, баг позволяет атакующему установить полный контроль над уязвимым ресурсом.
Согласно официальной статистике WordPress, опенсорсный Code Snippets установлен более чем на 200 000 сайтов. Плагин предназначен для запуска сниппетов PHP сайтах WordPress, а также предоставляет для управления ими удобный графический интерфейс, похожий на меню Plugins.
Источник: https://xakep.ru/2020/01/31/code-snippets/
#cms #wordpress #vulnerability
Согласно официальной статистике WordPress, опенсорсный Code Snippets установлен более чем на 200 000 сайтов. Плагин предназначен для запуска сниппетов PHP сайтах WordPress, а также предоставляет для управления ими удобный графический интерфейс, похожий на меню Plugins.
Источник: https://xakep.ru/2020/01/31/code-snippets/
#cms #wordpress #vulnerability
Специалисты WebARX предупредили, что пользователям WordPress нужно срочно обновить плагин ThemeGrill Demo Importer, разрабатываемый компанией ThemeGrill, которая создает и продает коммерческие темы для WordPress.
https://xakep.ru/2020/02/18/themegrill-demo-importer/
#cms #wordpress #vulnerability
https://xakep.ru/2020/02/18/themegrill-demo-importer/
#cms #wordpress #vulnerability
Уязвимости в WordPress-плагинах, имеющих более миллиона установок https://opennet.ru/52398/
#wordpress #cms #vulnerability
#wordpress #cms #vulnerability
www.opennet.ru
Уязвимости в WordPress-плагинах, имеющих более миллиона установок
Исследователи безопасности из компаний Wordfence и WebARX выявили несколько опасных уязвимостей в пяти плагинах для системы управления web-контентом WordPress, в сумме насчитывающих более миллиона установок.
freehostua via @like
Тема личной гигиены в последнее время стала очень актуальной. Мы решили хайпануть на этой волне и написали статью про гигиену для сайтов и приложений :) Ведь 82% всех взломов происходит из-за ошибок в коде, а гонка за новыми «плюшками» значительно снижает качество программного обеспечения.
https://freehost.com.ua/faq/articles/chto-nuzhno-sdelat-dlja-proverki-bezopasnosti-vashego-sajta-chek-list-ot-freehost/
#security #cms #ssl #programming
https://freehost.com.ua/faq/articles/chto-nuzhno-sdelat-dlja-proverki-bezopasnosti-vashego-sajta-chek-list-ot-freehost/
#security #cms #ssl #programming
freehost.com.ua
Безопасность сайта и веб приложений - проверка по чеклисту — компания FreeHost
Виды уязвимостей, которые используют преступники - Основные принципы безопасности сайта - Аудит безопасности сайтов - Как избежать взлома паролей? - Хотлинк защита картинок - тел. +380 (44) 364 05 71 - Компания ФриХост
freehostua via @like
Брешь в плагине: хакеры могут взломать 350 тысяч Wordpress-сайтов!
Специалисты обнаружили опасную уязвимость в плагине File Manager для Wordpress, предназначенном для управления загрузками. Известно, что плагин используют более чем на 700 тыс. сайтов. Обнаруженная проблема влияет на безопасность: злоумышленники могут устанавливать и запускать на пораженных сайтах опасные скрипты. В тот же день, после огласки данных, представители NinTechNet (Таиланд) заявили о старте организованных атак с использованием обнаруженной бреши.
О чем речь?
В File Manager дополнительно встроен менеджер файлов elFinder. Это библиотека, обеспечивающая базовую функциональность и отвечающая за удобное управление. Суть проблемы — в особенностях реализации elFinder.
Для File Manager изменили расширение для connector.minimal.php.dist на .php. Это дает возможность запускаться без ограничений, даже если менеджер не использует файл. Внутри часто содержатся файлы примеров. Они не защищены, так как не нуждаются в особых условиях доступа. Как результат — у файла нет конкретных ограничений. А это значит, через него может внедриться любой желающий.
Схема атаки
По словам представителей NinTechNet, злоумышленники пользуются брешью для закачивания на сайты собственных файлов. Преимущественно это изображения со скрытыми веб-шеллами (вредоносными скриптами). Они позволяют атакующим запускать команды в библиотеке плагина и даже работать в комфортной пользовательской среде. С одной стороны, далее этого каталога злоумышленники продвинуться не могут. С другой — уже и такого доступа достаточно, чтобы нанести сайту серьезный ущерб. Например, загрузить скрипты для вредоносного влияния на другие разделы сайта.
Есть данные, что сейчас хакеры пользуются багом для закачивания на ресурсы жертв скрипта hardfork.php. Через него они загружают куски кода в скрипты, содержащиеся в admin-ajax.php, а также и user.php, корневых каталогов /wp-admin/ и /wp-includes. При этом хакеры запароливают уязвимый файл. Вероятнее всего — чтобы другие злоумышленники не пользовались захваченным сайтом. Представители NinTechNet отмечают, что следят за ситуацией. В ближайшее время станет ясно, как намерены поступать взломщики. Если они ставят пароли, очевидно, что они планируют возвращаться на зараженные сайты.
На волне атак появился отчет от компании Wordfence, специализирующейся на вопросах интернет-безопасности. Ее специалисты достаточно быстро смогли обнаружить и пресечь больше 450 тыс. попыток использования этой уязвимости. Хакеры пытались установить на сайты разные типы файлов: это были и пустые (очевидно, для тестирования), а также вредоносные с названиями hardfind, hardfork, x (все — с расширением .php).
Представители из Wordfence отметили: File Manager дает возможность хакерам управлять данными и загружать любые новые файлы непосредственно из панели администратора CMS WordPress. Есть потенциальный риск, что заинтересованный кибер-преступник получит привилегированный доступ, расширит присутствие и продолжит развивать свою атаку, используя другие уязвимости.
Разработчики плагина уже исправили проблему: версии от 6.0 до 6.8. вышли без нее. По официальной статистике WordPress, сейчас уязвимости подвержено около половины сайтов, использующих File Manager: то есть, примерно 350 тыс.
Не забываем обновлять WordPress и его плагины!
#wordpress #security #cms
Специалисты обнаружили опасную уязвимость в плагине File Manager для Wordpress, предназначенном для управления загрузками. Известно, что плагин используют более чем на 700 тыс. сайтов. Обнаруженная проблема влияет на безопасность: злоумышленники могут устанавливать и запускать на пораженных сайтах опасные скрипты. В тот же день, после огласки данных, представители NinTechNet (Таиланд) заявили о старте организованных атак с использованием обнаруженной бреши.
О чем речь?
В File Manager дополнительно встроен менеджер файлов elFinder. Это библиотека, обеспечивающая базовую функциональность и отвечающая за удобное управление. Суть проблемы — в особенностях реализации elFinder.
Для File Manager изменили расширение для connector.minimal.php.dist на .php. Это дает возможность запускаться без ограничений, даже если менеджер не использует файл. Внутри часто содержатся файлы примеров. Они не защищены, так как не нуждаются в особых условиях доступа. Как результат — у файла нет конкретных ограничений. А это значит, через него может внедриться любой желающий.
Схема атаки
По словам представителей NinTechNet, злоумышленники пользуются брешью для закачивания на сайты собственных файлов. Преимущественно это изображения со скрытыми веб-шеллами (вредоносными скриптами). Они позволяют атакующим запускать команды в библиотеке плагина и даже работать в комфортной пользовательской среде. С одной стороны, далее этого каталога злоумышленники продвинуться не могут. С другой — уже и такого доступа достаточно, чтобы нанести сайту серьезный ущерб. Например, загрузить скрипты для вредоносного влияния на другие разделы сайта.
Есть данные, что сейчас хакеры пользуются багом для закачивания на ресурсы жертв скрипта hardfork.php. Через него они загружают куски кода в скрипты, содержащиеся в admin-ajax.php, а также и user.php, корневых каталогов /wp-admin/ и /wp-includes. При этом хакеры запароливают уязвимый файл. Вероятнее всего — чтобы другие злоумышленники не пользовались захваченным сайтом. Представители NinTechNet отмечают, что следят за ситуацией. В ближайшее время станет ясно, как намерены поступать взломщики. Если они ставят пароли, очевидно, что они планируют возвращаться на зараженные сайты.
На волне атак появился отчет от компании Wordfence, специализирующейся на вопросах интернет-безопасности. Ее специалисты достаточно быстро смогли обнаружить и пресечь больше 450 тыс. попыток использования этой уязвимости. Хакеры пытались установить на сайты разные типы файлов: это были и пустые (очевидно, для тестирования), а также вредоносные с названиями hardfind, hardfork, x (все — с расширением .php).
Представители из Wordfence отметили: File Manager дает возможность хакерам управлять данными и загружать любые новые файлы непосредственно из панели администратора CMS WordPress. Есть потенциальный риск, что заинтересованный кибер-преступник получит привилегированный доступ, расширит присутствие и продолжит развивать свою атаку, используя другие уязвимости.
Разработчики плагина уже исправили проблему: версии от 6.0 до 6.8. вышли без нее. По официальной статистике WordPress, сейчас уязвимости подвержено около половины сайтов, использующих File Manager: то есть, примерно 350 тыс.
Не забываем обновлять WordPress и его плагины!
#wordpress #security #cms
Удобный и при этом бесплатный движок для сайта — о чём ещё мечтать владельцу бизнеса, стремящемуся вывести свою компанию в онлайн? Но тут возникает вопрос: что именно выбрать и использовать? WordPress vs Wix: какая платформа подойдет вам?
https://freehost.com.ua/faq/articles/wordpress-vs-wix-kakaja-platforma-podojdet-vam/
#wordpress #cms
https://freehost.com.ua/faq/articles/wordpress-vs-wix-kakaja-platforma-podojdet-vam/
#wordpress #cms