Почему сайты на WordPress все чаще становятся целью хакерских атак?

Складывается впечатление, что WordPress – самая слабозащищенная CMS. Почему? Да ведь в последнее время только и гутарят о том, что нашли уязвимость то в одном, то в другом плагине… Да что там говорить, если даже Google не удалось создать полностью безопасное расширение для WP…

WordPress на прицеле у хакеров!

Вордпресс любят и уважают во всех уголках планеты за удобство, функциональность и комфорт. А еще за всеобъемлющую поддержку масштабного сообщества разработчиков, которые создают огромное количество плагинов и тем для WordPress… С еще большим количеством багов! Причем это не просто домыслы автора, а сухая статистика от всезнающей «Лаборатории Касперского». По сведениям антивирусной компании, в текущем году количество угроз, с которыми сталкивались отечественные пользователи на сайтах (зарегистрированных в доменной зоне .ru и работающих на WP) выросло в два раза (до 730 тыс. случаев). При этом распространителями вирусами выступали более 38 тыс. площадок. Эксперт из «Лаборатории Касперского» отмечает, что чаще всего для взлома сайта на WordPress злоумышленники используют дыры в безопасности сторонних плагинов. Причем такие прорехи находят не только в расширениях от неизвестных разработчиков. Даже Google не смог создать безопасный плагин для WP…

400 тысяч сайтов под угрозой!

Именно столько площадок используют Site Kit. В конце апреля специалисты компании WordFence выявили серьезную уязвимость в системе плагина Site Kit от Google. Обнаруженный баг позволяет всем авторизованным пользователям (независимо от его привилегий и роли) получить полный доступ к Search Console сайта! Проще говоря, любой пользователь CMS может через поисковую панель удалять страницы сайта из выдачи, изменять Sitemap и т.д. Найденная уязвимость относится к эксплойтам повышения привилегий. Например, злоумышленник может зарегистрироваться на сайте как подписчик. Данная роль в системе WordPress обладает минимальным количеством привилегий. Но с помощью бага в плагине хакер может повысить свои права до роли администратора.

Да ну его такой комфорт!

Site Kit добавляет в интерфейс административной части CMS панель, на которой отображается статистика и показатели из нескольких сервисов Google (Search Console, Tag Manager, AdSense и других). Это, конечно, удобно: все данные по твоему сайту выводятся сразу в админке… Но учитывая серьезность обнаруженной уязвимости, то такой комфорт может обойтись очень дорого. Благо, эту дыру разработчики Google уже залатали!