XSS-уязвимости на официальном портале WordPress

Обычно публичные (с открытыми исходниками) системы управления содержимым сайтов считаются довольно защищёнными. Обусловлено это тем, что ими пользуется очень большое количество человек (веб-мастеров), исходный код открыт. В общем, такие системы на виду, раскрыты всем желающим, и многие из этих желающих постоянно проверяют движок на прочность, выискивая слабые места и дыры для атак. Тем не менее, сайты, созданные на подобных CMS, с постоянной регулярностью взламывают, что наводит на мысль, что сама концепция не очень пригодна для профессиональной деятельности и серьёзных проектов.

Где уязвимость

На самом деле, системы действительно имеют высокую степень защищённости, однако у таких движков очень большое комьюнити, тысячи разработчиков из сообщества создают различные плагины для расширения функционала, для добавления комфортности. Именно через такие плагины, безопасностью которых неопытные разработчики не очень заморачивались, злоумышленники и получают доступы к содержимому сайта или к управлению им. Поэтому специалисты не перестают предупреждать веб-мастеров о том, что всего один незначительный плагин, который был скомпрометирован, может привести к масштабным последствиям. К примеру, плагин GDPR Compliance был с уязвимостью, которая позволяла захватывать сайты.

Находка на WordPress.org

Специалисты RIPS Technologies поведали сообществу о том, что ещё в начале лета были обнаружены две XSS-уязвимости не в каком-то стороннем плагине, а в самом сайте WordPress. Одна из уязвимостей имела потенциал червя. А для официального репозитория это подобно бомбе. Разумеется, работы над закрытием всех дыр уже завершены, поэтому информация о них обнародована. Но всегда помните, ничего стопроцентного под луной не бывает, и к защите своих данных следует подходить комплексно.


Поделись мнением о статье "XSS-уязвимости на официальном портале WordPress", предложи свой вариант в комментариях! Спасибо!


Добавить комментарий

Ваш e-mail не будет опубликован.