В конце января вышло обновление системы управления сайтами WordPress версии 4.7.2, которое устранило серьезную ошибку с безопасностью. Однако разработчики сознательно не включили эту информацию в список изменений патча, пытаясь скрыть ее от хакеров.
Как стало известно специалистам компании Sucuri, предыдущая версия популярной CMS содержала критическую уязвимость, которая позволяла злоумышленникам вносить изменения в любой контент на сайте — рекламу, SEO-спам, исполняемый код и др.
Эксперты по информационной безопасности полагают, что эта мера смягчила последствия от возможных атак. Большинство сайтов, использующих WordPress, автоматически обновляются по умолчанию или по клику администратора.
На данный момент уже несколько дней наблюдается повышение активности киберпреступников, нацелившихся на сайты с незакрытой уязвимостью. Ситуация осложняется тем, что многие администраторы сайтов предпочитают вручную обновлять WordPress, так что далеко не все ресурсы закрыли эту уязвимость.
Аналитики Sucuri изучили несколько вредоносных кампаний, в том числе атаку, распространяющую набор символов «by w4l3XzY3» на огромном количестве уязвимых сайтов. По этому запросу Google выдает более 100 тыс. результатов, что позволяет оценить масштаб проблемы.
Отметим, что на данный момент на WordPress работают не менее 250 миллионов сайтов.
ESET рекомендует владельцам сайтов и блогов на WordPress незамедлительно обновиться до версии 4.7.2