Критическая уязвимость в движке WordPress

Движок WordPress снова раскритикован из-за непростительной степени уязвимости. Специалистам удалось обнаружить критический недочет в системе обеспечения безопасности плагина. В результате угроза взлома нависла над 1 млн. ресурсов на просторе Сети во всем мире. Ими предлагаются самые различные товары и услуги, в том числе скупка реле, а также полезная информация.

Уязвимость плагина Slimstat

Такая опасная уязвимость была найдена специалистами, которые работают в компании Sucuri. Это дополнение для WordPress, как сообщает официальная статистика, пользователи скачивали 1,3 млн. раз. Поэтому тому же количеству сайтов в результате угрожает возможность взлома. Но, согласно заявлениям представителей движка, подобных сайтов не больше, чем 100 тыс.

Где притаилась уязвимость

Уязвимыми являются все версии плагина Slimstat, не считая самой новой, индекс которой 3.9.6. «Притаилась» она в ключе, а он применяется для подписи данных и легко поддается расшифровке. После удачной расшифровки перед злоумышленником (хакером) откроется потенциал для применения инъекции SQL в самой обширном спектре. Используя такую возможность, можно пробраться в среду администрирования ресурса и украсть данные или пароли пользователей.

Согласно утверждениям специалистов, есть вероятность того, что злоумышленники могут получить доступ к WordPress Secret Keys файлам. В результате они смогут без проблем полностью контролировать сайт.

Специалисты, которым удалось заметить эту опасную уязвимость в Slimstat плагине, утверждают, что, используя распространенные инструменты, можно взломать шифр ключа за 10-20 мин. Поэтому, обладателям WordPress-сайтов рекомендуется установить обновления плагина до версии Slimstat 3.9.6.