Миллионы сайтов WordPress получают принудительное автоматическое обновление для исправления бреши в безопасности

Что только что произошло? На прошлой неделе большая часть двух миллионов сайтов WordPress получила принудительное обновление безопасности из-за серьезной уязвимости в плагине, используемом для резервного копирования данных. Уязвимость позволяет неавторизованным пользователям загружать резервные копии сайтов WP.

В прошлый четверг вышло обновление безопасности для плагина UpdraftPlus для сайтов WordPress, устраняющее критическую уязвимость. Разработчики посчитали, что ошибка достаточно актуальна, чтобы потребовать принудительного обновления.

UpdraftPlus используется для упрощения загрузки и восстановления резервных копий сайтов WordPress. Разработчики JetPack во время внутреннего аудита UpdraftPlus обнаружили уязвимость в отсутствующей проверке разрешений, которая могла позволить неавторизованным пользователям получить доступ к этим резервным копиям. Обычно к ним должны иметь доступ только администраторы. Согласно диаграммам UpdraftPlus, около 1,7 миллиона сайтов загрузили обновление в четверг.

И JetPack, и UpdraftPlus опубликовали предупреждения об уязвимости. Сайты, которые шифруют свои резервные копии, менее подвержены риску, и разработчики UpdraftPlus отмечают, что WordPress хеширует свои сохраненные пароли, что должно защитить их от хакеров, получающих незашифрованные резервные копии. JetPack сообщает, что большинство сайтов WordPress были обновлены, и призывает тех, кто еще не обновился, установить последний патч UpdraftPlus.

Эксплойты плагинов WordPress становятся все более серьезной проблемой. В отчете группы безопасности, опубликованном в прошлом месяце, говорится, что в 2021 году было зарегистрировано больше уязвимостей, чем в 2020 году, и что три четверти недостатков плагинов имели известные эксплойты.